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二 、 本 书 结构 
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三 、 安 全 设计 和 编程 
全 设计 和 编程 的 基础 知识 


(% ) 


四 、 以 安全 方式 使 用 技术 


4.1 创建 或 使 用 活动 


4.1.1 示例 代码 


使 用 活动 的 风险 和 对 策 取 决 于 活动 的 使 用 方式 。 在 本 节 中 ， 我 们 根据 活动 的 使 用 情 
况 ， 对 4 种 活动 进行 了 分 类 。 你 可 以 通过 下 面 的 图 表 来 找 出 ， 你 应 该 创建 哪 种 类 型 
的 活动 。 由 于 安全 编程 最 佳 实践 根据 活动 的 使 用 方式 而 有 所 不 同 ， 因 此 我 们 也 将 解 
释 活 动 的 实现 。 


表 4-1 活动 类 型 的 定义 


私有 不 能 由 其 他 应 用 加 载 ， 所 以 是 最 安全 的 活动 
公共 应 该 由 很 多 未 指定 的 应 用 使 用 的 活动 

伙伴 只 能 由 可 信 的 伙伴 公司 开发 的 应 用 使 用 的 活动 
内 部 只 能 由 其 他 内 部 应 用 使 用 的 活动 





Private Activity 





Public Activity Partner Activity 


Figure 4.1-1 


In-house Activity 


4.1.1.1 创建 /使 用 私有 活动 

私有 活动 是 其 他 应 用 程序 无 法 启动 的 活动 ， 因 此 它 是 最 安全 的 活动 。 

当 使 用 仅 在 应 用 程序 中 使 用 的 活动 (私有 活动 ) 时 ， 只 要 你 对 类 使 用 显示 意图 ， 那 
么 你 不 必 担心 将 它 意 外 发 送 到 任何 其 他 应 用 程序 。 但 是 ， 第 三 方 应 用 程序 可 能 会 读 
取 用 于 启动 活动 的 意图 。 因此 ， 如 果 你 将 敏感 信息 放 入 用 于 启动 活动 的 意图 中 ， 有 
必要 采取 对 策 ， 来 确保 它 不 会 被 恶意 第 三 方 读 取 。 

下 面 展示 了 如 何 创建 私有 活动 的 示例 代码 。 

要 点 (创建 活动 ) 

1) 不 要 指定 taskAffinity 。 

2) 不 要 指定 launchMode 。 

3) 将 导出 属性 明确 设置 为 false 。 

4) 仔细 和 安全 地 处 理 收 到 的 意图 ， 即 使 意图 从 相同 的 应 用 发 送 。 

5) 敏感 信息 可 以 发 送 ， 因 为 它 发 送 和 接收 所 有 同一 应 用 中 的 信息 。 


AndroidManifest.xml 


4.1.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.activity.privateactivity" > 


<application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- Private activity --> 
<!-- *** POINT 1 *** Do not specify taskAffinity --> 
<!-- *** POINT 2 *** Do not specify launchMode --> 
<!-- *** POINT 3 *** Explicitly set the exported attribu 
te to false. --> 
<activity 
android: name=".PrivateActivity" 
android: label="@string/app_name" 
android:exported="false" /> 


<!-- Public activity launched by launcher --> 
<activity 
android: name=".PrivateUserActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
i= 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


| 


PrivateActivity.java 
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package org.jssec.android.activity.privateactivity; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view. View; 
import android.widget.Toast; 


public class PrivateActivity extends Activity ( 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.private activity); 

// *** POINT 4 *** Handle the received Intent carefully 
and securely, even though the Intent was sent from the same appl 
TCatroHs. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 

String param = getIntent().getStringExtra("PARAM"); 

Toast.makeText(this, String.format("Received param: "96 
sY"", param), Toast.LENGTH LONG).show(); 


j 


public void onReturnResultClick(View view) ( 
// *** POINT 5 *** Sensitive information can be sent sin 
ce it is sending and receiving all within the same application. 
Intent intent - new Intent(); 
intent.putExtra("RESULT", "Sensitive Info"); 
setResult(RESULT OK, intent); 
finish(); 


下 面 展示 如 何 使 用 私有 活动 的 示例 代码 。 

要 点 (使 用 活动 ) ; 

6) 不 要 为 意图 设置 FLAG_ACTIVITY_NEW_TASK 标志 来 启动 活动 。 
7) 使 用 显 式 意图 ， 以 及 用 于 调用 相同 应 用 中 的 活动 的 特定 的 类 。 


8) 由 于 目标 活动 位 于 同一 个 应 用 中 ， 因 此 只 能 通过 putExtra() 发 送 敏感 信息 
[1] ° 


警告 : 如 果 不 遵 守 第 1,2 和 6 点， 第 三 方 可 能 会 读 到 意图 。 更 多 详细 信息 ， 
请 参阅 第 4.1.2.2 和 4.1.2.3 节 。 


9) 即使 数据 来 自 同 一 应 用 中 的 活动 ， 也 要 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 


PrivateUserActivity.java 





package org.jssec.android.activity.privateactivity; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view. View; 
import android.widget.Toast; 


public class PrivateUserActivity extends Activity { 
private static final int REQUEST_CODE = 1; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.user activity); 


j 


public void onUseActivityClick(View view) { 

// *** pOINT 6 *** po not set the FLAG ACTIVITY NEW TASK 
flag for intents to start an activity. 

// *** POINT 7 *** Use the explicit Intents with the cla 
ss specified to call an activity in the same application. 

Intent intent - new Intent(this, PrivateActivity.class); 

// *** POINT 8 *** Sensitive information can be sent onl 
y by putExtra() since the destination activity is in the same ap 
plication. 

intent.putExtra("PARAM", "Sensitive Info"); 

startActivityForResult(intent, REQUEST CODE); 


} 


@Override 
public void onActivityResult(int requestCode, int resultCode 
, Intent data) { 
super.onActivityResult(requestCode, resultCode, data); 
if (resultCode != RESULT_OK) return; 
Switch (requestCode) { 
case REQUEST_CODE: 
String result = data.getStringExtra("RESULT"); 
// *** POINT 9 *** Handle the received data care 
fully and securely, 
// even though the data comes from an activity w 
ithin the same application. 
// Omitted, since this is a sample. Please refer 
to "3.2 Handling Input Data Carefully and Securely." 
Toast.makeText(this, String.format("Received res 
ult: ¥"%s*¥"", result), Toast.LENGTH LONG).show(); 
break; 


j 


4.1.1 示例 代码 
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4.1.1.2 创建 /使 用 公共 活动 


公共 活动 是 应 该 由 大 量 未 指定 的 应 用 程序 使 用 的 活动 。 有 必要 注意 的 是 ， 公 共 活 动 
可 能 收 到 恶意 软件 发 送 的 意图 。 另外 ， 使 用 公共 活动 时 ， 有 必要 注意 恶意 软件 也 可 
以 接收 或 阅读 发 送 给 他 们 的 意图 。 


要 点 (创建 活动 ) 

1) 将 导出 属性 显 式 设置 为 true 。 

2) 小 心 并 安全 地 处 理 接 收 到 的 意图 。 
3) 返回 结果 时 ， 请 勿 包含 敏感 信息 。 
下 面 展 示 了 创建 公共 活动 的 示例 代码 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 

«manifest xmlns:android="http://schemas.android.com/apk/res/ 
android" 

package-"org.jssec.android.activity.publicactivity" > 


<application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- Public Activity --> 
<!-- *** POINT 1 *** Explicitly set the exported attribu 
te to true. --> 
<activity 
android:name=".PublicActivity" 
android: label="@string/app_name" 
android: exported="true"> 


<!-- Define intent filter to receive an implicit int 
ent for a specified action --> 
<intent-filter> 
<action android:name="org.jssec.android.activity 
.MY ACTION" /> 
«category android:name="android.intent.category. 
DEFAULT" /» 
</intent-filter> 
</activity> 
</application> 
</manifest> 


PublicActivity.java 
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package org.jssec.android.activity.publicactivity; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view.View; 
import android.widget.Toast; 


public class PublicActivity extends Activity { 


QOverride 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
// *** POINT 2 *** Handle the received intent carefully 
and securely. 
// Since this is a public activity, it is possible that 
the sending application may be malware. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
String param = getIntent().getStringExtra( "PARAM"); 
Toast.makeText(this, String.format("Received param: ¥"%s¥ 
"U", param), Toast.LENGTH LONG).show( ); 


j 


public void onReturnResultClick(View view) ( 

// *** POINT 3 *** When returning a result, do not inclu 
de sensitive information. 

// Since this is a public activity, it is possible that 
the receiving application may be malware. 

// If there is no problem if the data gets received by m 
alware, then it can be returned as a result. 

Intent intent - new Intent(); 

intent.putExtra("RESULT", "Not Sensitive Info"); 

setResult(RESULT OK, intent); 

finish(); 


) 
BJE 
接 下 来 ， 这 里 是 公共 活动 用 户 端的 示例 代码 。 

要 点 (使 用 活动 ) 

4) 不 要 发 送 敏 感 信息 。 

5) 收 到 结果 时 ， 请 仔细 并 安全 地 处 理 数 据 。 


PublicUserActivity.java 
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package org.jssec.android.activity.publicuser; 
import android.app.Activity; 

import android.content.ActivityNotFoundException; 
import android.content.Intent; 

import android.os.Bundle; 

import android.view. View; 

import android.widget.Toast; 

public class PublicUserActivity extends Activity { 


private static final int REQUEST_CODE = 1; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 


j 


public void onUseActivityClick(View view) { 


try 4 
// *** POINT 4 *** po not send sensitive information. 


Intent intent - new Intent("org.jssec.android.activi 
ty.MY ACTION"); 
intent.putExtra("PARAM", "Not Sensitive Info"); 
startActivityForResult(intent, REQUEST CODE); 
) catch (ActivityNotFoundException e) ( 
Toast.makeText(this, "Target activity not found.", T 
oast.LENGTH LONG). show(); 


} 
} 


@Override 
public void onActivityResult(int requestCode, int resultCode 
, intent data) { 
super.onActivityResult(requestCode, resultCode, data); 
// *** POINT 5 *** When receiving a result, handle the d 
ata carefully and securely. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
if (resultCode !- RESULT OK) return; 
switch (requestCode) ( 
case REQUEST CODE: 
String result = data.getStringExtra(" RESULT"); 
Toast.makeText(this, String.format("Received res 
ult: ¥"%s¥"", result), Toast.LENGTH LONG).show(); 
break; 


Hl ———————————————————— Hs áeeái rn 


4.1.1 示例 代码 


20 


4.1.1.3 创建 /使 用 伙伴 活动 


伙伴 活动 是 只 能 由 特定 应 用 程序 使 用 的 活动 。 它们 在 想 要 安全 共享 信息 和 功能 的 伙 
伴 公 司 之 间 使 用 。 


第 三 方 应 用 程序 可 能 会 读 取 用 于 启动 活动 的 意图 。 因 此 ， 如 果 你 将 敏感 信息 放 入 用 
于 局 动 活动 的 意图 中 ， 有 必要 采取 对 策 来 确保 其 无 法 被 恶意 第 三 方 读 取 。 


创建 伙伴 活动 的 示例 代码 如 下 所 示 。 

要 点 (创建 活动 ) 

1) 不 要 指定 taskAffinity 。 

2) 不 要 指定 launchMode 。 

3) 不 要 定义 意图 过 滤器 ， 并 将 导出 属性 明确 设置 为 true 。 

) 通过 预定 义 白 名 单 验证 请 求 应 用 程序 的 证 书 。 

) 尽管 意图 是 从 伙伴 应 用 程序 发 送 的 ， 仔 细 和 安全 地 处 理 接 收 到 的 意图 。 
6) 只 返回 公开 给 伙伴 应 用 的 信息 。 


请 参阅 "4.1.3.2 验证 和 请 求 应 用 ”"， 了 解 如何 通 过 白 名 单 验 证 应 用 。 此 外 ， 请 参 
“5.2.1.3 如 何 验 证 应 用 证 书 的 哈 希 ”， 了 解 如 何 验证 白 名 单 中 指定 目标 应 用 的 证 书 
哈 希 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/ 
android" 
android: layout_width="fill_ parent" 
android: layout_height="fill_parent" 
android: orientation="vertical" 
android: padding="5dp" > 
<TextView 
android: layout_width="fill_parent" 
android: layout_height="wrap_content" 
android: Llayout_marginTop="20dp" 
android: text="@string/description" /> 
<Button 
android: layout_width="fill_parent" 
android: layout_height="wrap_content" 
android: layout_marginTop="20dp" 
android: onClick="onReturnResultClick" 
android: text="@string/return_result" /> 
</LinearLayout> 


PartnerActivity.java 


package org.jssec.android.activity.partneractivity; 


import org.jssec.android.shared.PkgCertWhitelists; 
import org.jssec.android.shared.Utils; 

import android.app.Activity; 

import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.Toast; 


public class PartnerActivity extends Activity ( 


// *** POINT 4 *** Verify the requesting application's certi 
ficate through a predefined whitelist. 
private static PkgCertWhitelists swhitelists = null; 


private static void buildWhitelists(Context context) { 
boolean isdebug - Utils.isDebuggable(context); 
swhitelists = new PkgCertWhitelists(); 
// Register certificate hash value of partner applicatio 
n org.jssec.android.activity.partneruser 
.sWhitelists.add("org.jssec.android.activity.partner 
user", isdebug ? 
// Certificate hash value of "androiddebugkey" in th 
e debug.keystore. 
"OEFB7236 328348A9 89718BAD DF57F544 D5CCBAAE B9DB34 
BC 1E29DD26 F77C8255" 
// Certificate hash value of "partner key" in the ke 
ystore. 
"1F039BB5 7861C27A 3916C778 8E78CE00 690B3974 3EB825 
9F E2627B8D 4COEC35A"); 
// Register the other partner applications in the sa 


me way. 
} 
private static boolean checkPartner(Context context, String 
pkgname) { 
if (swhitelists == null) buildWhitelists(context); 
return sWhitelists.test(context, pkgname); 
} 
@Override 


public void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.main); 


// *** POINT 4 *** Verify the requesting application's c 


ertificate through a predefined whitelist. 
if (!checkPartner(this, getCallingActivity().getPackageN 
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4.1.1 示例 代码 


ame())) { 
Toast.makeText(this, 
"Requesting application is not a partner applica 
Lon 
Toast.LENGTH LONG).show(); 
finish(); 
return; 
} 


// *** POINT 5 *** Handle the received intent carefully 
and securely, even though the intent was sent from a partner app 
ikica troni 

// Omitted, since this is a sample. Refer to "3.2 Handli 
ng Input Data Carefully and Securely." 

Toast.makeText(this, "Accessed by Partner App", Toast.LE 
NGTH LONG).show(); 

} 


public void onReturnResultClick(View view) { 

// *** POINT 6 *** Only return Information that is grant 
ed to be disclosed to a partner application. 

Intent intent = new Intent(); 

intent.putExtra("RESULT", "Information for partner appli 
cations"); 

setResult(RESULT_OK, intent); 

finish(); 


PkgCertWhitelists.java 
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package org.jssec.android.shared; 


import java.util.HashMap; 
import java.util.Map; 
import android.content.Context; 


public class PkgCertWhitelists { 


private Map<String, String» mwhitelists = new HashMap<String 
, String>(); 


public boolean add(String pkgname, String sha256) { 

if (pkgname == null) return false; 

if (sha256 == null) return false; 

sha256 = sha256.replaceAll(" ", ""); 

if (sha256.length() != 64) return false; // SHA-256 -> 3 
2 bytes -> 64 chars 

sha256 = sha256.toUpperCase(); 

if (sha256.replaceAll("[0-9A-F]+", "").length() != 0) re 
turn false; // found non hex char 

mwhitelists.put(pkgname, sha256); 

return true; 


j 


public boolean test(Context ctx, String pkgname) { 
// Get the correct hash value which corresponds to pkgna 
me. 
String correctHash = mWhitelists.get(pkgname); 
// Compare the actual hash value of pkgname with the cor 
rect hash value. 
return PkgCert.test(ctx, pkgname, correctHash); 


j 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 
public static boolean test(Context ctx, String pkgname, Stri 


ng correctHash) ( 
if (correctHash -- null) return false; 


correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


j 


public static String hash(Context ctx, String pkgname) { 
if (pkgname -- null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
cry t 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 


j 


return hexadecimal.toString(); 


使 用 伙伴 活动 的 示例 代码 如 下 : 

7) 验证 目标 应 用 的 证 书 是 否 已 在 白 名 单 中 注册 。 

8) 不 要 为 启动 活动 的 意图 设置 FLAG ACTIVITY NEW TASK 标志 。 

9) 仅 通过 putExtra() 发 送 公 开 给 伙伴 活动 的 信息 。 

10) 使 用 显示 意图 调用 伙伴 活动 。 

11) 使 用 startActivityForResult() 来 调用 伙伴 活动 。 

12) 即使 数据 来 自 伙 伴 应 用 程序 ， 也 要 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 


请 参阅 "4.1.3.2 验证 请 求 应 用 "了 解 如 何 通过 白 名 单 验证 应 用 程序 。 另 请 参 
015.2.1.3 如 何 验证 应 用 证 书 的 哈 希 "， 了 解 如 何 验证 白 名 单 中 指定 目标 应 用 的 证 书 
哈 希 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 

<manifest xmlns:android="http://schemas.android.com/apk/res/ 
android" 

package-"org.jssec.android.activity.partneruser" > 


<application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<activity 
android: name="org.jssec.android.activity.partneruser 
.PartnerUserActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
«category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


C E 


PartnerUserActivity.java 


package org.jssec.android.activity.partneruser; 


import org.jssec.android.shared.PkgCertWhitelists; 
import org.jssec.android.shared.Utils; 

import android.app.Activity; 

import android.content.ActivityNotFoundException; 
import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.Toast; 


public class PartnerUserActivity extends Activity { 
// *** POINT 7 *** Verify if the certificate of a target app 


lication has been registered in a whitelist. 
private static PkgCertWhitelists sWhitelists = null; 


4.1.1 示例 代码 


private static void buildWhitelists(Context context) { 
boolean isdebug - Utils.isDebuggable(context); 
swhitelists = new PkgCertWhitelists(); 
// Register the certificate hash value of partner applic 
ation org.jssec.android.activity.partner 
activity 
.sWhitelists.add("org.jssec.android.activity.partner 
activity", isdebug ? 
// The certificate hash value of "androiddebugkey" i 
s in debug.keystore. 
"OEFB7236 328348A9 89718BAD DF57F544 D5CCBAAE B9DB34 
BC 1E29DD26 F77C8255" 
// The certificate hash value of "my company key" is 
in the keystore. 
"D397D343 A5CBC10F 4EDDEB7C A10062DE 5690984F 1FB9E8 
8B D7B3A7C2 42b142CA"); 
// Register the other partner applications in the sa 
me way. 


} 


private static boolean checkPartner(Context context, String 
pkgname) { 
if (swhitelists == null) buildWhitelists(context); 
return sWhitelists.test(context, pkgname); 


} 


private static final int REQUEST_CODE = 1; 

// Information related the target partner activity 

private static final String TARGET_PACKAGE = "org.jssec.andr 
oid.activity.partneractivity"; 

private static final String TARGET_ACTIVITY = "org.jssec.and 
roid.activity.partneractivity.PartnerActivity"; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 


j 


public void onUseActivityClick(View view) { 
// *** POINT 7 *** Verify if the certificate of the targ 
et application has been registered in the own white list. 
if (!checkPartner(this, TARGET PACKAGE)) { 
Toast.makeText(this, "Target application is not a pa 
rtner application.", Toast.LENGTH LONG).show(); 
return; 
} 


try t 
// *** POINT 8 *** Do not set the FLAG ACTIVITY NEW 


TASK flag for the intent that start an activity. 
Intent intent - new Intent(); 
// *** POINT 9 *** Only send information that is gra 
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nted to be disclosed to a Partner Activity only by putExtra(). 
intent.putExtra("PARAM", "Info for Partner Apps"); 
££ >= POINT 10 °*** Use explicit antent to call a Pa 
rtner Activity. 
intent.setClassName(TARGET PACKAGE, TARGET ACTIVITY) 
$ 
// *** POINT 11 *** Use startActivityForResult() to 
call a Partner Activity. 
startActivityForResult(intent, REQUEST_CODE); 
} 
catch (ActivityNotFoundException e) { 
Toast.makeText(this, "Target activity not found.", T 
oast .LENGTH_LONG) .show(); 


} 
} 


@Override 
public void onActivityResult(int requestCode, int resultCode 
, Intent data) { 
super.onActivityResult(requestCode, resultCode, data); 
if (resultCode != RESULT_OK) return; 
Switch (requestCode) { 
case REQUEST_CODE: 
String result = data.getStringExtra("RESULT"); 
// *** POINT 12 *** Handle the received data car 
efully and securely, 
// even though the data comes from a partner app 
lication. 
// Omitted, since this is a sample. Please refer 
to "3.2 Handling Input Data Carefully and Securely." 
Toast .makeText(this, 
String.format("Received result: ¥"%s¥"", res 
ult), Toast.LENGTH_LONG).show(); 
break; 


} 


PkgCertWhitelists.java 


NO 


Co 


package org.jssec.android.shared; 


import java.util.HashMap; 
import java.util.Map; 
import android.content.Context; 


public class PkgCertWhitelists { 
private Map<String, String» mwhitelists = new HashMap<String 
, String>(); 


public boolean add(String pkgname, String sha256) { 

if (pkgname == null) return false; 

if (sha256 == null) return false; 

sha256 = sha256.replaceAll(" ", ""); 

if (sha256.length() != 64) return false; // SHA-256 -> 3 
2 bytes -> 64 chars 

sha256 = sha256.toUpperCase( ); 

if (sha256.replaceAll("[0-9A-F]+", "").length() != 0) re 
turn false; // found non hex char 

mwhitelists.put(pkgname, sha256); 

return true; 


j 


public boolean test(Context ctx, String pkgname) ( 
// Get the correct hash value which corresponds to pkgna 
me. 
String correctHash = mWhitelists.get(pkgname); 
// Compare the actual hash value of pkgname with the cor 
rect hash value. 
return PkgCert.test(ctx, pkgname, correctHash); 


j 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 

public static boolean test(Context ctx, String pkgname, 
String correctHash). 1 

if (correctHash -- null) return false; 

correctHash = correctHash.replaceAll(" ", ""); 

return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager.GET SIGNATURES); 
if (pkginfo.signatures.length !- 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
try q 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


4.1.1.4 创建 /使 用 内 部 活动 


内 部 活动 是 禁止 其 他 内 部 应 用 以 外 的 应 用 使 用 的 活动 。 它们 用 于 内 部 开发 的 应 用 ， 
以 便 安 全 地 共享 信息 和 功能 。 


第 三 方 应 用 可 能 会 读 取 用 于 启动 活动 的 意图 。 因 此， 如 果 你 将 敏感 信息 放 入 用 于 局 
动 活动 的 意图 中 ， 有 必要 采取 对 策 来 确保 它 不 会 被 恶意 第 三 方 读 取 。 


下 面 展 示 了 创建 内 部 活动 的 示例 代码 。 
要 点 (创建 活动 ) 
它 义 内 部 签名 权限 。 


要 指定 taskAffinity 。 


^ n 


Æ launchMode 。 
内 部 签名 权限 。 
定义 意图 过 滤器 ， 并 将 导出 属性 显 式 设 为 true 。 
确认 内 部 签名 权限 是 由 内 部 应 用 的 。 
管 意图 是 从 内 部 应 用 发 送 的 ， 仔 细 和 安全 地 处 理 接 收 到 的 意图 。 


X 
o 


AndroidManifest.xml 


4.1.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.activity.inhouseactivity" > 


<!-- *** POINT 1 *** Define an in-house signature permission 
--> 
<permission 
android: name="org.jssec.android.activity.inhouseactivity.MY_ 
PERMISSION" 
android: protectionLevel="Signature" /> 


<application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- In-house Activity --> 
<!-- *** POINT 2 *** Do not specify taskAffinity --> 
<!-- *** POINT 3 *** Do not specify launchMode --> 
<!-- *** POINT 4 *** Require the in-house signature perm 
ission --> 
<!-- *** POINT 5 *** Do not define the intent filter and 
explicitly set the exported attribute to 
RUE > 
<activity 
android: name="org.jssec.android.activity.inhouseacti 
vity.InhouseActivity" 
android: exported="true" 
android: permission="org.jssec.android.activity.inhou 
seactivity.MY PERMISSION" /> 
</application> 
</manifest> 


InhouseActivity.java 


package org.jssec.android.activity.inhouseactivity; 


import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.Toast; 


public class InhouseActivity extends Activity ( 


// In-house Signature Permission 
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4.1.1 示例 代码 


private static final String MY_PERMISSION = "org.jssec.andro 
id.activity.inhouseactivity.MY_PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash = null; 


private static String myCertHash(Context context) { 
if (sMyCertHash == null) { 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" i 
n the debug.keystore. 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
} else { 
// Certificate hash value of "my company key" in 
the keystore. 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 


} 


} 

return sMyCertHash; 
} 
QOverride 


public void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.main); 
// *** POINT 6 *** Verify that the in-house signature pe 
rmission is defined by an in-house application. 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 


) {í 
Toast.makeText(this, "The in-house signature permiss 
ion is not declared by in-house application.", 
Toast .LENGTH_LONG) .show(); 
finish(); 
return; 
} 
// *** POINT 7 *** Handle the received intent carefully 
and securely, even though the intent was sent from an in-house a 
pplication. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
String param = getIntent().getStringExtra("PARAM"); 
Toast.makeText(this, String.format("Received param: ¥"%s¥ 
"U", param), Toast.LENGTH_LONG).show(); 


j 


public void onReturnResultClick(View view) ( 
/7 *** POINT 8 *** Sensitive information can be returned 
since the requesting application is inhouse. 
Intent intent - new Intent(); 
intent.putExtra("RESULT", "Sensitive Info"); 
setResult(RESULT OK, intent); 
finish(); 
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oi = | 


SigPerm.java 


package org.jssec.android. shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) 1 
if (correctHash -- null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try 4 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager(); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
} catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 


import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert ( 
public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) ( 
if (correctHash -- null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
try T 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


要 点 9 :导出 APK 时 ， 请 使 用 与 目标 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 


4.1.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 





Key store password: 








Key alias: 





Key password: 


[_] Remember passwords 


LIN 





使 用 内 部 活动 的 代码 如 下 

要 点 (使 用 活动 ) 

10) 声明 你 要 使 用 内 部 签名 权限 。 

11) 确认 内 部 签名 权限 是 由 内 部 应 用 定义 的 。 

12) 验证 目标 应 用 是 否 使 用 内 部 证 书签 

13) 由 于 目标 应 用 是 内 部 的 ， 所 以 敏感 信息 只 能 由 putExtra() 发 送 。 

14) 使 用 显 式 意图 调用 内 部 活动 。 

15) 即使 数据 来 自 内 部 应 用 ， 也 要 小 心 并 安全 地 处 理 接收 到 的 数据 。 

16) 导出 APK 时 ， 请 使 用 与 目标 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 


AndroidManifest.xml 


)? 
) 
)$ 
) 
) 
) 
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<?xml version="1.0" encoding="utf-8"?> 


<manifest xmlns:android="http://schemas.android.com/apk/res/andr 


oid" 


package="org.jssec.android.activity.inhouseuser" > 


<!-- *** POINT 10 *** Declare to use the in-house signature 


permission --> 
<uses-permission 


android: name="org.jssec.android.activity.inhouseactivity.MY_ 


PERMISSION" /> 


<application 


android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<activity 


android: name="org.jssec.android.activity.inhouseuser 


. InhouseUserActivity" 


ie 


android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 


<action android:name="android.intent.action.MAIN" 


<category android:name="android.intent.category. 


LAUNCHER" /> 


</intent-filter> 
</activity> 


</application> 
</manifest> 


ES 


InhouseUserActivity.java 


package org.jssec.android.activity.inhouseuser; 


import 
import 
import 
import 
import 
import 
import 
import 
import 
import 


public 
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private static final String TARGET PACKAGE - "org.jssec 


org.jssec.android.shared.PkgCert; 
org.jssec.android.shared.SigPerm; 
org.jssec.android.shared.Utils; 
android.app.Activity; 
android.content.ActivityNotFoundException; 
android.content.Context; 
android.content.Intent; 

android.os.Bundle; 

android.view.View; 

android.widget.Toast; 


class InhouseUserActivity extends Activity ( 


Target Activity information 


4.1.1 示例 代码 


oid.activity.inhouseactivity"; 

private static final String TARGET ACTIVITY = "org.jssec.and 
roid.activity.inhouseactivity.InhouseActivity"; 

// In-house Signature Permission 

private static final String MY PERMISSION - "org.jssec.andro 
id.activity.inhouseactivity.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" i 
n the debug.keystore. 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" in 
the keystore. 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
} 
} 
return sMyCertHash; 


} 


private static final int REQUEST_CODE = 1; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 


j 


public void onUseActivityClick(View view) { 
// *** POINT 11 *** Verify that the in-house signature p 
ermission is defined by an in-house application. 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 


Jot 
Toast.makeText(this, "The in-house signature permiss 
ion is not declared by in-house application.", 
Toast.LENGTH LONG).show( ); 
return; 
} 
// ** POINT 12 *** Verify that the destination applicati 
on is signed with the in-house certificate. 
if (!PkgCert.test(this, TARGET_PACKAGE, myCertHash(this) 


)) { 
Toast.makeText(this, "Target application is not an i 


n-house application.", Toast.LENGTH_LONG).show(); 
return; 
} 


[ry 
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Intent intent = new Intent(); 

// *** POINT 13 *** Sensitive information can be sen 
t only by putExtra() since the destination application is in-hou 
se. 

intent.putExtra("PARAM", "Sensitive Info"); 


// *** POINT 14 *** Use explicit intents to call an 
In-house Activity. 
intent.setClassName(TARGET PACKAGE, TARGET ACTIVITY) 


startActivityForResult(intent, REQUEST CODE); 
) catch (ActivityNotFoundException e) ( 
Toast.makeText(this, "Target activity not found.", T 
oast.LENGTH LONG). show(); 
} 
} 


@Override 
public void onActivityResult(int requestCode, int resultCode 
, Intent data) { 
super.onActivityResult(requestCode, resultCode, data); 
if (resultCode != RESULT_OK) return; 
Switch (requestCode) { 
case REQUEST_CODE: 
String result = data.getStringExtra("RESULT"); 
// *** POINT 15 *** Handle the received data car 
efully and securely, 
// even though the data came from an in-house ap 
plication. 
// Omitted, since this is a sample. Please refer 
to "3.2 Handling Input Data Carefully and Securely." 
Toast.makeText(this, String.format("Received res 
ult: ¥"%s¥"", result), Toast.LENGTH LONG).show( ); 
break; 
} 


SigPerm.java 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try c 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager( ); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
Packagelnfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
Cry 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 


j 


return hexadecimal.toString(); 


要 点 16: 导出 APK 时 ， 请 使 用 与 目标 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签 
名 。 


4.1.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 


Key alias: 


Key password: 
[ ] Remember passwords 
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4.1.2 规则 书 


创建 或 向 活动 发 送 意 图 时 ， 请 务必 遵循 以 下 规则 。 


4.1.2.1 仅 在 应 用 内 部 使 用 的 活动 必须 设置 为 私有 (LE) 


仅 在 单个 应 用 中 使 用 的 活动 ， 不 需要 能 够 从 其 他 应 用 接收 任何 意图 。 开 发 人 员 经 常 
假设 ， 应 该 是 私有 的 活动 不 会 受到 攻击 ; 但 有 必要 将 这 些 活 动 显 式 设置 为 私有 yl 
阻止 恶意 内 容 被 收 到 。 


AndroidManifest.xml 


<!-- Private activity --> 


<!-- *** POINT 3 *** Explicitly set the exported attribute to fa 
lse. --> 


<activity 
android: name=".PrivateActivity" 
android: label="@string/app_name" 
android:exported="false" /> 


意图 过 滤器 不 应 该 设置 在 仅 用 于 单个 应 用 的 活动 中 。 由 于 意图 过 滤器 的 特性 ， 以 及 
工作 原理 ， 即 使 您 打算 向 内 部 的 私有 活动 发 送 意图 ， 但 如 果 通 过 意图 过 滤器 发 送 ， 

则 可 能 会 无 意 中 启 动 另 一 个 活动 。 更 多 详细 信息 ， 请 参阅 高 级 主题 叫 .1.3.1 结合 导 
出 属性 和 意图 过 滤器 设置 (用 于 活动 ) ”。 


AndroidManifest.xml (不 推荐 ) 


<!-- Private activity --> 
<!-- *** POINT 3 *** Explicitly set the exported attribute to fa 
lse. --> 
<activity 
android: name=".PictureActivity" 
android: label="@string/picture_name" 
android:exported="false" > 
<intent-filter> 
«action android:name="org.jssec.android.activity.OPEN /> 
</intent-filter> 
</activity> 


4.1.2.2 不 要 指定 taskAffinity (必需 ) 
在 Android OS 中 ， 活 动 由 任务 管理 。 任 务 名 称 由 根 活动 所 具有 的 Affinity 决定 。 


另 一 方面 ， 对 于 根 活 动 以 外 的 活动 ， 活 动 所 属 的 任务 不 仅仅 取决 于 Affinity， 还 取决 
于 活动 的 启动 模式 。 更 多 详细 信息 ， 请 参阅 "4.1.3.4 REA” o 


在 默认 设置 中 ， 每 个 活动 使 用 其 包 名 称 作为 其 Affinity 。 因 此 ， 任 务 根据 应 用 分 
配 ， 因 此 单个 应 用 中 的 所 有 活动 都 属于 同一 个 任务 。 要 更 改 任 务 分 配 ， 您 可 以 

在 AndroidManifest.xml 文件 中 显 式 声明 Affinity， 或 者 您 可 以 在 发 送 给 活动 的 
意图 中 ， 设 置 一 个 标志 。 但 是 ， 如 果 更 改 任务 分 配 ， 则 存在 风险 ， 即 其 他 应 用 可 能 
读 取 一 些 意图 ， 它 发 送 给 属于 其 他 任务 的 活动 。 


请 务必 不 要 在 AndroidManifest.xml 文件 中 指定 android:taskAffinity ， 并 
使 用 默认 设置 ， 将 affinity 作为 包 名 ， 以 防止 其 他 应 用 读 取 发 送 或 接收 的 意图 中 的 
敏感 信息 。 
以 下 是 用 于 创建 和 使 用 私有 活动 的 AndroidManifest.xml 示例 文件 。 
AndroidManifest.xml 

<application 


android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- Private activity --> 
<!-- *** POINT 1 *** Do not specify taskAffinity --> 
<activity 


android: name="".PrivateActivity" 

android: label="@string/app_name" 

android: exported="false" /> 
</application> 


任务 和 Affinity 的 更 多 信息 ， 请 参阅 “Google Android 编程 指南 ” [2] > Google 开发 者 
API 指南 “任务 和 返回 栈 " [3] ，“4.1.3.3 读 取 发 送 到 活动 的 意图 ?和 “4.1.3.4 根 活动 ” 


[2] Author Egawa, Fujii, Asano, Fujita, Yamada, Yamaoka, Sano, Takebata, 
“Google Android Programming Guide”, ASCII Media Works, July 2009 


[3] http://developer.android.com/guide/components/tasks-and-back-stack.html 


4.1.2.3 不 要 指定 launchMode (必需 ) 


活动 的 启动 模式 ， 用 于 控制 启动 活动 时 的 设置 ， 它 用 于 创建 新 任务 和 活动 实例 。 R 
认 情 况 下 ， 它 被 设置 为 "standard" ° 在 "standard" 设置 中 ， 新 实例 总 是 在 局 
动 活动 时 创建 ， 任 务 遵循 属于 调用 活动 的 任务 ， 并 且 不 可 能 创建 新 任务 。 创建 新 任 
务 时 ， 其 他 应 用 可 能 会 读 取 调用 意图 的 内 容 ， 因 此 当 敏 感 信 息 包含 在 意图 中 时 ， 需 
要 使 用 "standard" 活动 启动 模式 设置 。 活动 的 启动 模式 可 以 

在 AndroidManifest.xml 文件 的 android:launchMode 属性 中 显 式 设置 ， 但 由 
于 上 面 解 释 的 原因 ， 这 不 应 该 在 活动 的 声明 中 设置 ， 并 且 该 值 应 该 保留 为 默认 

的 "standard" 。 


AndroidManifest.xml 


<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- Private activity --> 
<!-- *** POINT 2 *** Do not specify launchMode --> 
<activity 


android: name=".PrivateActivity" 

android: label="@string/app_name" 

android: exported="false" /> 
</application> 


请 参阅 "4.1.3.3 读 取 发 送 到 活动 的 意图 "和 “4.1.3.4 REA” © 


4.1 .2.4 不 要 为 启动 活动 的 意图 设置 FLAG ACTIVITY NEW TASK 标 
志 (必需 ) 


执行 startActivity() 或 startActivityForResult() 时 ， 可 以 更 
PC Activity 的 局 动 模式 ， 并 且 在 茶 些 情况 下 可 能 会 生成 新 任务 。 因此 有 必要 在 
执行 期 间 不 更 改 Activity 的 启动 模式 。 


要 更 改 Activity 启动 模式 ， 使 用 setFlags() 或 addFlags() 设置 Intent 标 
志 ， 并 将 该 Intent 用 作 startActivity() 或 startActivityForResult() 的 
参数 。 FLAG_ACTIVITY_NEW_TASK 是 用 于 创建 新 任务 的 标志 。 当 设 

置 FLAG_ACTIVITY_NEW_TASK 时 ， 如 果 被 调用 的 Activity 不 存在 于 后 台 或 前 
台 ， 则 会 创建 一 个 新 任务 。 FLAG_ACTIVITY_MULTIPLE_TASK 标志 可 以 

与 FLAG ACTIVITY NEW TASK 同时 设置 。 在 这 种 情况 下 ， 总 会 创 ge 
务 。 新 任务 可 以 通过 任 一 设置 创建 ， 因 此 不 应 使 用 处 理 敏感 信息 的 意图 来 设 

东西 。 


// *** POINT 6 *** Do not set the FLAG_ACTIVITY_NEW_TASK flag fo 
r the intent to start an activity. 

Intent intent = new Intent(this, PrivateActivity.class); 
intent.putExtra("PARAM", "Sensitive Info"); 
startActivityForResult(intent, REQUEST CODE); 


另外 ， 即 使 通过 明确 设置 FLAG_ACTIVITY_EXCLUDE_FROM_RECENTS 标志 创建 了 新 
任务 ， 您 也 可 能 认为 有 一 种 方法 可 以 防止 读 取 Intent 的 内 容 。 但是， 即使 使 用 
此 方法 ， 内 容 也 可 以 由 第 三 方 读 取 ， 因 此 您 应 该 避免 使 

用 FLAG_ACTIVITY_NEW_TASK 。 


请 参阅 "4.1.3.1 结合 导出 属性 和 意图 过 滤 设 置 (针对 活动 ) > “4.1.3.3 读 取 发 送 到 
Do eT 


4.1.2.5 小 心 和 安全 地 处 理 收 到 的 意图 


风险 因 Activity 的 类 型 而 异 ， 但 在 处 理 收 到 的 Intent 数据 时 ， 您 应 该 做 的 第 
一 件 事 是 输入 验证 。 


由 于 公共 活动 可 以 从 不 受信 任 的 来 源 接收 意图 ， 它 们 可 能 会 受到 恶意 软件 的 攻击 。 

另 一 方面 ， 私 有 活动 永远 不 会 直接 从 其 他 应 用 收 到 任何 意图 ， 但 目标 应 用 中 的 公共 
活动 可 能 会 将 恶 恶意 Intent 转发 给 私有 活动 ， 因 此 您 不 应 该 认为 私有 活动 不 会 收 到 
任何 恶意 输入 。 由 于 伙伴 活动 和 内 部 活动 也 有 恶意 意图 转发 给 他 们 的 风险 ， 因 此 有 
必要 对 这 些 意图 进 并 行 输入 验证 。 


请 参阅 “3.2 仔细 和 安全 地 处 理 输入 数据 ” 


4.1.2.6 在 验证 签名 权限 由 内 部 应 用 定义 之 后 ' 使 用 内 部 定义 的 签 


名 权限 (必需 ) 
确保 在 创建 活动 时 ， 通 过 定义 内 部 签 ° 由 于 
在 AndroidManifest.xml 文件 中 定义 权限 或 声明 权限 请 求 不 能 提供 足够 的 安 


性 ， 请 务必 参考 "5.2.1.2 如 何 使 用 内 部 定义 的 签名 权限 ， ip ene ead Ti 
信 ”。 


4.1.2.7 & JR 结果 时 ? 请 ER A te «4j Be A 1S 息 泄露 (x 
&) 


当 您 使 用 setResult() 返回 数据 时 ， 目 标 应 用 的 可 竺 性 将 取决 于 Activity 类 

型 。 当 公共 活动 用 于 返回 数据 时 ， 目 标 可 能 会 成 为 恶意 软件 ， 在 这 种 情况 下 ， 可 能 

会 以 恶意 方式 使 用 该 信息 。 对 于 私有 和 内 部 活动 ， 不 需要 过 多 担 心 返回 的 数据 被 和 
意 使 用 ， 因 为 它们 被 返回 到 您 控制 的 应 用 。 伙伴 活动 中 间 有 些 东西 。 


如 上 所 述 ， 当 从 活动 中 返回 数据 时 ， 您 需要 注意 来 自 目 标 应 用 的 信息 泄漏 。 


public void onRetut Diac di bap view) ( 
// *** POINT 6 *** Information that is granted to be disclos 
ed to a partner e can be returned. 
Intent intent = new Intent(); 
intent.putExtra( "RESULT", "Sensitive Info"); 
setResult(RESULT_OK, intent); 
finish(); 


4.1.2.8 如 果 目 标 活动 是 预先 确定 的 ， 则 使 用 显 式 意图 (必需 ) 


当 通 过 隐 人 式 意 图 使 用 Activity 时 ， Intent 发 送 到 的 Activity 由 Android OS 
确定 。 如 果 意 图 被 错误 地 发 送 到 恶意 软件 ， 则 可 能 发 生 信 息 泄 漏 。 另 一 方面 ， 当 

通过 显 式 意图 使 用 activity 时 ， 只 有 预期 的 Activity 会 收 到 Intent ， 所 以 
RAE REE ° Lee 需要 确定 意图 应 该 发 送 到 哪个 应 用 活动 ， 否 则 应 该 使 用 显 式 
意图 并 提前 指定 目标 。 


Intent intent = new Intent(this, PictureActivity.class); 
intent.putExtra("BARCODE", barcode); 
startActivity(intent); 


Intent intent - new Intent(); 

intent.setClassName( 
"org.jssec.android.activity.publicactivity", 
"org.]ssec.android.activity.publicactivity.PüblicActivity ); 

startActivity(intent); 


但 是 ， 即 使 通过 显 式 意图 使 用 其 他 应 用 的 公共 活动 ， 目 标 活动 也 可 能 是 恶意 软件 。 
这 是 因为 ， 即 使 通过 软件 包 名 称 限制 目 标 ， 悉 意 应 用 仍 可 能 伪造 与 映 实 应 用 相同 的 


软件 包 名 称 。 为 了 消除 这 种 风险 ， 有 必要 考虑 使 用 伙伴 或 内 部 活动 。 
请 参阅 "4.1.3.1 组 合 导出 属性 和 意图 过 滤器 设置 (对 于 活动 ) ” 


4.1.2.9 小 心 并 安全 地 处 理 来 自 被 请 求 活动 的 返回 数据 (必需 ) 


根据 您 访问 的 活动 类 型 ， 风 险 略 有 不 同 ， 但 在 处 理 作为 返回 值 的 收 到 的 Intent X 
据 ， 您 始终 需要 对 接收 到 的 数据 执行 输入 验证 。 公共 活动 必须 接受 来 自 不 受信 任 来 
源 的 返回 意图 ， 因 此 在 访问 公共 活动 时 ， 返 回 的 意图 实际 上 可 能 是 由 恶意 软件 发 送 
的 。 人 们 往往 错误 地 认为 ， 私 有 活动 返回 的 所 有 内 容 都 是 安全 的 ， 因 为 它们 来 源 于 
同一 个 应 用 。 但 是 ， 由 于 从 不 可 信 来 源 收 到 的 意图 可 能 会 间接 转发 ， 因 此 您 不 应 育 
目 信 任 该 意图 的 内 容 。 伙伴 和 内 部 活动 在 私有 和 公共 活动 中 间 有 一 定 风险 。 一 定 
也 要 对 这 些 活 动 输入 验证 。 更 多 信息 ， 请 参阅 “3.2 仔细 和 安全 地 处 理 输入 数据 ”。 


4.1.2.10 如 果 与 其 他 公司 的 应 用 链接 ， 请 验证 目标 活动 (必需 ) 


与 其 他 公司 的 应 用 链接 时 ， 确 保 确 定 了 白 名 单 。 您 可 以 通过 在 应 用 内 保存 公司 的 证 
书 散 列 副 本 ， FARA) H IAE TE HRA REE S RUE BERE 意 应 用 欺骗 意图 。 
具体 实现 方法 请 参考 示例 代码 ”4.1.1.3 创建 /使 用 伙伴 活动 "部 分 。 技 术 细 节 请 参 

阅 "4.1.3.2 验证 请 求 应 用 ° 


4.2.11 提供 二 手 素材 时 ， 素 材 应 受到 同等 保护 (必需 ) 


当 受 到 权限 保护 的 信息 或 功能 素材 被 另 一 个 应 用 提供 时 ， 您 需要 确保 它 具 有 访问 素 
材 所 需 的 相同 权限 。 在 Android OS 权限 安全 模型 中 ， 只 有 已 获得 适当 权限 的 应 用 
才 可 以 直接 访问 受 保护 的 素材 。 但 是 ， 存 在 一 个 漏洞 ， 因 为 具有 素材 权限 的 应 用 可 
以 充当 代理 ， 并 允许 非特 权 应 用 程序 访问 它 。 基 本 上 这 与 重新 授权 相同 ， 因 此 它 被 
称 为 “重新 授权 ”问题 。 请 参阅 “5.2.3.4 重新 授权 问题 *”。 


4.2.12 敏感 信息 的 发 送 应 该 尽 可 能 限制 (推荐 ) 


您 不 应 将 敏感 信息 发 送 给 不 受信 任 的 各 方 。 即 使 您 正在 连接 特定 的 应 用 程序 ， 仍 有 
可 能 无 意 中 将 Intent 发 送 给 其 他 应 用 程序 ， 或 者 恶意 第 三 方 可 能 会 窃取 您 的 意 
图 。 请 参阅 "4.1.3.5 使 用 活动 时 的 日 志 输 出 ”。 


将 敏感 信息 发 送 到 活动 时 ， 您 需要 考虑 信息 泄露 的 风险 。 您 必须 假设 ， 发 送 到 公共 
活动 的 Intent 中 的 所 有 数据 都 可 以 由 恶意 第 三 方 获取 。 此 外 ， 根 据 实现 ， 

向 伙伴 或 内 部 活动 发 送 意图 时 ， 也 存在 各 种 信息 泄漏 的 风险 。 即使 将 数据 发 送 到 私有 活动 ， 
LogCat 泄漏 。 意图 附加 部 分 中 的 信息 不 会 输出 到 LogCat ， 因 此 最 好 在 那里 存储 敏感 
信息 。 

但 是 ， 不 首先 发 送 敏感 数据 ， 是 防止 信息 泄露 的 唯一 完美 解决 方案 ， 因 此 您 应 该 尽 
可 能 限制 发 送 的 敏感 信息 的 数量 。 当 有 必要 发 送 敏感 信息 时 ， 最 好 的 做 法 是 只 发 送 
给 受信 任 的 活动 ， 并 确保 信息 不 能 通过 Logcat 泄露 。 


另外 ， 敏 感 信 息 不 应 该 发 送 到 根 活 动 。 根 活动 是 创建 任务 时 首先 调用 的 活动 。 例 
如 ， 从 局 动 器 局 动 的 活动 始终 是 根 活 动 。 


根 活动 的 更 多 详细 信息 ， 请 参阅 "4.1.3.3 发 送 到 活动 的 意图 "和 “4.1.3.4 根 活动 ”。 


4.1.3 高 级 话题 


4.1.3.1 组 合 导 出 属性 和 意图 过 滤器 (对 于 活动 ) 


我 们 已 经 解释 了 如 何 实现 本 指南 中 的 四 类 活动 : 私有 活动 ， 公 共 活 动 ， 伙 伴 活 动 和 
内 部 活动 。 下 表 中 定义 了 每 种 类 型 的 导出 属性 的 允许 的 设置 ， 

和 intent-filter 元 素 的 各 种 组 合 ， 它 们 在 AndroidManifest.xml 文件 中 定 
义 。 请 使 用 你 尝试 创建 的 活动 ， 验 证 导出 属性 和 intent-filter 元 素 的 兼容 性 。 


导出 属性 的 值 
True False 未 指定 
pue. DH (不 使 用 ，) one 
RES ~ 伙伴 、 内 AndroidManifest .xml 25 
表 4.1-2 


当 未 指定 Activity 的 导出 属性 时 ， Activity 是 否 为 公开 的 ， 取 决 

于 Activity 的 意图 过 滤器 的 存在 与 否 [4]。 但 是 ， 在 本 手册 中 ， 禁 止 将 导出 属性 
设置 为 未 指定 。 通 常 ， 如 前 所 述 ， 最 好 避免 依赖 任何 给 定 API 的 默认 行为 的 实现 ; 

此 外 ， 如 果 存 在 明确 的 方法 (例如 导出 属性 ) 来 启用 重要 的 安全 相关 设置 ， 那 么 使 

用 这 些 方法 总 是 一 个 好 主意 。 


如 果 定 义 了 任何 意图 过 滤器 ， 则 该 活动 是 公开 的 ; 否则 它 是 私有 的 。 更 多 人 和信， 
请 参阅 ae ee pe Em Tm 
element.html#exported ° 


不 应 该 使 用 未 定义 的 意图 过 滤器 和 导出 属性 false 的 原因 ， 是 Android 的 行为 存 
在 漏洞 ， 并 且 由 于 意图 过 滤器 的 工作 原理 ， 其 他 应 用 的 活动 可 能 会 意外 调用 它 。 下 
面 的 两 个 图 展示 了 这 个 解释 。 图 4.1-4 是 一 个 正常 行为 的 例子 ， 其 中 私有 活动 〈 应 
AA) 只 能 由 同一 个 应 用 的 隐 式 Intent 调用 。 意图 过 滤器 ( action ="x" ) 
被 定义 为 仅 在 应 用 A 内 部 工作 ， 所 以 这 之 是 预期 的 行为 。 


Application A 
Call an activity with 
the implicit intent 


Intent(“X”) 


Application C 


Private Activity A-1 Call the activity with 
exported-" false" the implicit intent 


action-" X Intent(“X”) 


Since the activity A-1 is private one, 
it can be called only by the application A. 


Android device 





Figure 4.1-4 


下 面 的 图 4.1-5 展示 了 一 个 场景 ， 其 中 在 应 用 B 和 应 用 人 中 定义 了 相同 的 意图 过 滤 
器 〈 action ="X" ) 。 应 用 人 A 试图 通过 发 送 隐 式 意图 ， 来 调用 同一 应 用 中 的 私有 
活动 ， 但 是 这 次 显示 了 对 话 框 ， 询 问 用 户 选择 哪个 应 用 ， 以 及 应 用 日 中 的 公共 活 
5h B-1 ， 由 于 用 户 的 选择 而 错误 调用 。 由 于 这 个 漏洞 ， 可 能 会 将 敏感 信息 发 送 到 其 
他 应 用 ， 或 者 应 用 可 能 会 收 到 意外 的 返回 值 。 


Application A 
Call an activity with Application 
the implicit intent selector 


Private Activity A-1 
exported-" false" 
action="X” 


Application B 


Public Activity B-1 
exported-" true" 


When the activity B-1 that has the 
actionz X" same action exists, OS display the 
selector dialog, and public activity B-1is 
called depends on user selection. 


Android device 





Figure 4.1-5 


如 上 所 示 ， 使 用 意图 过 滤器 ， 将 隐 式 意图 发 送 到 私有 应 用 ， 可 能 会 导致 意外 行为 ， 
因此 最 好 避免 此 设置 。 另 外 ， 我 们 已 经 验证 了 这 种 行为 不 依赖 于 应 用 A 和 应 用 日 
的 安装 顺序 。 


4.1.3.2 验证 请 求 应 用 


我 们 在 此 解释 一 些 技术 信息 ， 关 于 如 何 实现 伙伴 活动 。 伙 伴 应 用 只 允许 白 名 单 中 注 
册 的 特定 应 用 访问 ， 并 且 所 有 其 他 应 用 都 被 拒绝 。 由 于 除 内 部 应 用 之 外 的 其 他 应 用 
需要 访问 权限 ， 因 此 我 们 无 法 使 用 签名 权限 进行 访问 控制 。 


简 而 言 之 ， 我 们 希望 验证 尝试 使 用 伙伴 活动 的 应 用 ， 通 过 检查 它 是 否 在 预定 义 的 和 白 
名 单 中 注册 ， 如 果 是 ， 则 允许 访问 ， 如 果 不 是 ， 则 拒绝 访问 。 应 用 验证 的 方式 是 ， 
从 请 求 访问 的 应 用 获取 证 书 ， 并 将 其 与 白 名 单 中 的 散 列 进行 比较 。 


一 些 开 发 人 员 可 能 会 认为 ， 仅 仅 比 较 软 件 包 名 称 而 不 获取 证 书 就 足够 了 ， 但 是 ， 很 
容易 伪装 成 含 法 应 用 的 软件 包 名 称 ， 因 此 这 不 是 检查 站 实 性 的 好 方法 。 任意 指 定 的 
值 不 应 用 于 认证 。 另 一 方面 ， 由 于 只 有 应 用 开发 人 员 拥 有 用 于 签署 证 书 的 开发 人 员 
密 钥 ， 因 此 这 是 识别 的 更 好 方法 。 由 于 证 书 不 容易 被 仿造， 除非 恶意 第 三 方 可 以 窃 
取 开 发 人 员 密 钥 ， 否 则 恶意 应 用 被 信任 的 可 能 性 很 小 。 虽然 可 以 将 整个 证 书 存储 在 
白 名 单 中 ， 但 为 了 使 文件 大 小 最 小 ， 仅 存储 SHA-256 散 列 值 就 足够 了 。 


使 用 这 个 方法 有 两 个 限制 : 


e 请 求 应 用 需要 使 用 startActivityForResult() 而 不 
是 startActivity() 。 
e 请 求 应 用 应 该 只 从 Activity 调用 。 


第 二 个 限制 是 由 于 第 一 个 限制 而 施加 的 限制 ， 因 此 技术 上 只 有 一 个 限制 。 


由 于 Activity.getCallingPackage() 的 限制 ， 它 获取 调用 应 用 的 包 名 称 ， 所 以 
会 发 生 此 限制 。 Activity.getCallingPackage() 仅 在 

由 startActivityForResult() 调用 时 ， 才 返回 源 (请求 ) 应 用 的 包 名 ， 但 不 幸 
的 是 ， 当 它 由 startActivity() 调用 时 ， 它 仅 返 回 null 。 因此 ， 使 用 此 处 解 
释 的 方法 时 ， 源 (请求 ) 应 用 需要 使 用 startActivityForResult() ， 即 使 它 不 
需要 获取 返回 值 。 另 外 ， startActivityForResult() 只 能 在 Activity 类 中 
使 用 ， 所 以 源 (请 求 者 ) 仅 限 于 活动 。 


PartnerActivity.java 


package org.jssec.android.activity.partneractivity; 


import org.jssec.android.shared.PkgCertwhitelists; 
import org.jssec.android.shared.Utils; 

import android.app.Activity; 

import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view. View; 

import android.widget.Toast; 


public class PartnerActivity extends Activity { 


// *** POINT 4 *** Verify the requesting application's certi 
ficate through a predefined whitelist. 
private static PkgCertWhitelists sWhitelists = null; 


private static void buildWhitelists(Context context) { 
boolean isdebug - Utils.isDebuggable(context); 
swhitelists = new PkgCertWhitelists(); 
// Register certificate hash value of partner applicatio 
n org.jssec.android.activity.partneruser 
.sWhitelists.add("org.jssec.android.activity.partner 
user", isdebug ? 
// Certificate hash value of "androiddebugkey" in th 
e debug.keystore. 
"OEFB7236 328348A9 89718BAD DF57F544 D5CCB4AE B9DB34 
BC 1E29DD26 F77C8255" 
// Certificate hash value of "partner key" in the ke 
Visite e 
"1F039BB5 7861C27A 3916C778 8E78CE00 690B3974 3EB825 
9F E2627B8D ACOEC35A"); 
// Register the other partner applications in the sa 


me way. 


} 


private static boolean checkPartner(Context context, String 
pkgname) { 
if (swhitelists == null) buildWhitelists(context); 
return sWhitelists.test(context, pkgname); 


j 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 

// *** POINT 4 *** Verify the requesting application's c 
ertificate through a predefined whitelist. 

if (!checkPartner(this, getCallingActivity().getPackageN 
ame())) { 

Toast.makeText(this, 

"Requesting application is not a partner application 
.", Toast.LENGTH LONG).show( ); 

finish(); 

return; 

} 

// *** POINT 5 *** Handle the received intent carefully 
and securely, even though the intent was sent from a partner app 
lication. 

// Omitted, since this is a sample. Refer to "3.2 Handli 
ng Input Data Carefully and Securely." 

Toast.makeText(this, "Accessed by Partner App", Toast.LE 
NGTH LONG).show(); 

} 


public void onReturnResultClick(View view) { 

// *** POINT 6 *** Only return Information that is grant 
ed to be disclosed to a partner application. 

Intent intent - new Intent(); 

intent.putExtra("RESULT", "Information for partner appli 
cations") 

setResult(RESULT OK, intent); 

finish(); 


PkgCertWhitelists.java 


53 


package org.jssec.android.shared; 


import java.util.HashMap; 
import java.util.Map; 
import android.content.Context; 


public class PkgCertwhitelists { 


private Map<String, String» mwhitelists = new HashMap<String 
, String>(); 
public boolean add(String pkgname, String sha256) { 
if (pkgname == null) return false; 
if (sha256 == null) return false; 
sha256 = sha256.replaceAll(" ", ""); 
if (sha256.length() != 64) return false; // SHA-256 -> 3 
2 bytes -> 64 chars 
sha256 = sha256.toUpperCase( ); 
if (sha256.replaceAll("[0-9A-F]+", "").length() != 0) re 
turn false; // found non hex char 
mwhitelists.put(pkgname, sha256); 
return true; 


j 


public boolean test(Context ctx, String pkgname) ( 
// Get the correct hash value which corresponds to pkgna 
me. 
String correctHash = mWhitelists.get(pkgname); 
// Compare the actual hash value of pkgname with the cor 
rect hash value. 
return PkgCert.test(ctx, pkgname, correctHash); 


j 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 
public static boolean test(Context ctx, String pkgname, Stri 


ng correctHash) ( 
if (correctHash -- null) return false; 


correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


j 


public static String hash(Context ctx, String pkgname) { 
if (pkgname -- null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
cry t 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
j 


return hexadecimal.toString(); 


4.1.3.3 读 取 发 送 给 活动 的 意图 


在 Android 5.0 (API Level 21) 及 更 高 版 本 中 ， 使 用 getRecentTasks() 得 到 的 
信息 仅 限于 调用 者 自己 的 任务 ， 并 且 可 能 还 有 一 些 其 他 任务 ， 例 如 已 知 不 敏感 的 其 
他 任务 。 但 是 支持 Android 5.0 (API Level 21) 版 本 的 应 用 应 该 防止 泄露 敏感 信 

息 。 以 下 描述 了 问题 内 容 ， 它 出 现在 Android 5.0 及 更 早 版 本 中 。 


发 送 到 任务 的 根 Activity 的 意图 ， 被 添加 到 任务 历史 中 。 根 活动 是 在 任务 中 局 
动 的 第 一 个 活动 。 任何 应 用 都 可 以 通过 使 用 ActivityManager 类 ， 读 取 添 加 到 任 
务 历史 的 意图 。 


4.1.3 高 级 话题 


下 面 显 示 了 从 应 用 中 读 取 任务 历史 的 示例 代码 。 要 浏览 任务 历史 ， 请 
在 AndroidManifest.xml 文件 中 指定 GET TASKS 权限 。 


AndroidManifest.xml 


<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package="0rg.jssec.android.intent.maliciousactivity" > 


<!-- Use GET_TASKS Permission --> 
<uses-permission android:name="android.permission.GET_TASKS" 
全 


<application 

android:allowBackup="false" 

android: icon="@drawable/ic_launcher" 

android: label="@string/app_name" 

android: theme="@style/AppTheme" > 

«activity 
android:namez".MaliciousActivity" 
android:label-"Qstring/title activity main" 
android:exported="true" > 
<intent-filter> 


<action android:name="android.intent.action.MAIN" 


/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


ee ni 


MaliciousActivity.java 
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package org.jssec.android.intent.maliciousactivity; 


import java.util.List; 

import java.util.Set; 

import android.app.Activity; 

import android.app.ActivityManager ; 
import android.content.Intent; 
import android.os.Bundle; 

import android.util.Log; 


public class MaliciousActivity extends Activity { 


@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.malicious activity); 
// Get am ActivityManager instance. 
ActivityManager activityManager - (ActivityManager) getS 
ystemService(ACTIVITY SERVICE); 
// Get 100 recent task info. 
List«ActivityManager.RecentTaskInfo» list - activityMana 
ger 
.getRecentTasks(100, ActivityManager.RECENT WITH EXC 
LUDED); 
for (ActivityManager.RecentTaskInfo r : list) ( 
// Get Intent sent to root Activity and Log it. 
Intent intent - r.baseIntent; 
Log.v("baseIntent", intent.toString()); 
Log.v(" action:", intent.getAction()); 
Log.v(" data:", intent.getDataString()); 
if (r.origActivity !- null) ( 
Log.v(" pkg:", r.origActivity.getPackageName() + 
r.origActivity.getClassName()); 
} 
Bundle extras = intent.getExtras(); 
if (extras != null) { 
Set<String> keys = extras.keySet(); 
for(String key : keys) { 
Log.v(" extras:", key + "=" + extras.get(key 
).toString()); 


} 


你 可 以 使 用 AcitivityManager 类 的 getRecentTasks() 函数 ， 来 获取 任务 历史 
的 指定 条 目 。 每 个 任务 的 信息 存储 在 ActivityManager.RecentTaskInfo 类 的 实 
例 中 ， 但 发 送 到 任务 根 Activity 的 意图 存储 在 其 成 员 变量 baseIntent Po 由 


于 根 Activity 是 创建 任务 时 启动 的 Activity ， 请 务必 在 调用 Activity N° 
不 要 满足 以 下 两 个 条 件 。 


e 新 的 任务 在 活动 被 调用 时 创建 
e 被 调用 的 活动 是 任务 的 根 活 动 ， 它 已 经 在 前 台 或 者 后 台 存 在 


4.1.3.4 根 活动 


根 活 动 是 作为 任务 起 点 的 活动 。 换 和 句 话说 ， 这 是 创建 任务 时 启动 的 活动 。 例 如 ， 
当 默认 活动 由 启动 器 启动 时 ， 此 活动 将 是 根 活 动 。 根 据 Android 规范 ， 发 送 到 

根 Activity 的 意图 的 内 容 可 以 从 任意 应 用 中 读 取 。 因此 ， 有 必要 采取 对 策 ， 不 
要 将 敏感 信息 发 送 到 根 活 动 。 在 本 指南 中 ， 已 经 制定 了 以 下 三 条 规则 来 避免 被 调用 
的 Activity 成 为 根 活 动 。 


e 不 要 指定 taskAffinity 

e 不 要 指定 launchMode 

e 发 送 给 活动 的 意图 中 ， 不 要 设置 FLAG_ACTIVITY_NEW_TASK 
我 们 考虑 一 个 情况 ， 活 动 可 以 成 为 下 面 的 根 活 动 。 被 调用 的 活动 成 为 根 活动 ， 取 决 
于 以 下 内 容 。 

e 被 调用 活动 的 启动 模式 

e 被 调用 活动 的 任务 及 其 启动 模式 
首先 ， 让 我 解释 一 下 "被 调用 活动 的 启动 模式 ”。 可 以 通过 
在 AndroidManifest.xml 中 编写 android:launchMode 来 设置 Activity 的 局 
动 模式 。 当 它 没有 编写 时 ， 它 被 认为 是 “标准 "。 另外 ， 居 动 模式 也 可 以 通过 设置 意 
图 的 标志 来 更 改 。 标志 FLAG_ACTIVITY_NEW_TASK 以 singleTask 模式 启动 活 
Hh © 
启动 模式 可 以 指定 为 这 些 。 我 会 解释 它们 和 根 活动 的 关系 。 
标准 ( standard ) 
此 模式 调用 的 活动 不 会 是 根 ， 它 属于 调用 者 端的 任务 。 每 次 调用 时 ， 都 会 生成 活动 
实例 。 

singleTop 
这 个 启动 模式 和 “标准 ?相同 ， 除 了 启动 一 个 活动 ， 它 显示 在 前 台 任务 的 最 前 面 时 ， 
不 会 生成 实例 。 

singleTask 
这 个 启动 模式 根据 Affinity 值 确定 活动 所 属 的 任务 。 当 匹 配 Activity 的 Affinity 
的 任务 不 存在 于 后 台 或 前 台 时 ， 新 任务 随 Activity 的 实例 一 起 生成 。 当 任务 存 
在 时 ， 它 们 都 不 会 被 生成 。 在 前 者 中 ， 已 启动 的 Activity 实例 成 为 根 。 


singleInstance 


与 singleTask 相同 ， 但 以 下 几 点 不 同 。 只 有 根 活 动 可 以 属于 新 生成 的 任务 。 
此 ， 通 过 此 模式 启动 的 活动 实例 ， 始 终 是 根 活动 。 现 在 ， 我 们 需要 注意 的 是 ， 虽 然 
任务 已 经 存在 ， 并 且 名 称 和 被 调用 Activity 的 Affinity 相同 ， 但 是 被 调 

用 Activity 的 类 名 和 包含 在 任务 中 的 activity 的 类 名 是 不 同 的 。 


从 上 面 我 们 可 以 知道 ， 由 singleTask 或 singleInstance 启动 的 Activity 有 
可 能 成 为 根 。 为 了 确保 应 用 的 安全 性 ， 它 不 应 该 由 这 些 模式 启动 。 


接 下 来 ， 我 将 解释 “被 调用 活动 的 任务 及 其 启动 模式 ”。 即使 Activity 以 "标准 " 模 
式 调用 ， 它 也 会 成 为 根 Activity 。 在 某 些 情况 下 ， 取 决 于 Activity FANE 
务 状 态 。 


例如 ， 考 虑 被 调用 Activity 的 任务 已 经 在 后 台 运 行 的 情况 。 这 里 的 问题 是 ， 任 
务 的 活动 实例 以 singleInstance 启动 ， 当 以 “标准 "调用 的 Activity 的 Affinity 
与 任务 相同 时 ， 新 任务 的 生成 受到 现 有 的 singleInstance 活动 的 限制 。 但 是 ， 
当 每 个 活动 的 类 名 称 相 同时 ， 不 会 生成 任务 ， 并 使 用 现 有 活动 实例 。 在 任何 情况 
下 ， 被 调用 活动 都 将 成 为 根 活 动 。 


如 上 所 述 ， 调 用 根 Activity 的 条 件 很 复杂 ， 例 如 取决 于 执行 状态 。 因 此 ， 在 开 
发 应 用 时 ， 最 好 设法 以 “标准 "来 调用 活动 。 


这 是 一 个 示例 ， 其 中 发 送 给 私有 活动 的 意图 ， 可 以 从 其 他 应 用 中 读 取 。 示 例 代 码 表 
明 ， 私 有 活动 的 调用 方 活动 以 singleInstance 模式 启动 。 在 这 个 示例 代码 中 ， 
私有 活动 以 “标准 "模式 启动 ， 但 由 于 调用 方 Activity 的 singleInstance 条 
件 ， 这 个 私有 活动 成 为 新 任务 的 根 Activity 。 此 时 ， 发 送 给 私有 活动 的 敏感 信 
息 ， 在 任务 历史 中 记录 ， 因 此 可 以 从 其 他 应 用 读 取 。 仅 供 参考 ， 调 用 方 活动 和 私有 
活动 都 具有 相同 的 Affinity 。 


AndroidManifest.xml (不 推荐 ) 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.activity.singleinstanceactivity" 
> 


<application 
android: allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- Set the launchMode of the root Activity to "singleI 
nstance". --> 
«!-- Do not use taskAffinity --» 
«activity 
android: name="org.jssec.android.activity.singleinsta 
nceactivity.PrivateUserActivity" 
android: label="@string/app_name" 
android: launchMode="singleInstance" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN 
" /> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 


</activity> 

<!-- Private activity --> 

<!-- Set the launchMode to "Standard." --> 
<!-- Do not use taskAffinity --> 

<activity 


android: name="org.jssec.android.activity.singleinstancea 
ctivity.PrivateActivity" 
android: label="@string/app_name" 
android: exported="false" /> 
</application> 
</manifest> 


私有 活动 仅仅 将 结果 返回 个 收 到 的 意图 。 


PrivateActivity.java 


package org.jssec.android.activity.singleinstanceactivity; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view. View; 
import android.widget.Toast; 


public class PrivateActivity extends Activity ( 


QOverride 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.private activity); 
// Handle intent securely, even though the intent sent f 
rom the same application. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
String param = getIntent().getStringExtra( "PARAM"); 
Toast.makeText(this, String.format("Received param: ¥"%s¥ 
"U", param), Toast.LENGTH LONG).show( ); 


} 

public void onReturnResultClick(View view) { 
Intent intent = new Intent(); 
intent.putExtra( "RESULT", "Sensitive Info"); 


setResult(RESULT_OK, intent); 
finish(); 


[EE 
在 私有 活动 的 调用 方 ， 私 有 活动 以 “标准 "模式 启动 ， 意 图 不 带 有 任何 标志 。 


PrivateUserActivity.java 


package org.jssec.android.activity.singleinstanceactivity; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view. View; 
import android.widget.Toast; 


public class PrivateUserActivity extends Activity { 
private static final int REQUEST_CODE = 1; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.user activity); 


j 


public void onUseActivityClick(View view) { 
// Start the Private Activity with "standard" lanchMode. 
Intent intent - new Intent(this, PrivateActivity.class); 
intent.putExtra("PARAM", "Sensitive Info"); 
startActivityForResult(intent, REQUEST CODE); 


j 


QOverride 
public void onActivityResult(int requestCode, int resultCode 
, Intent data) { 
super.onActivityResult(requestCode, resultCode, data); 
if (resultCode !- RESULT OK) return; 
switch (requestCode) ( 
case REQUEST CODE: 
String result - data.getStringExtra("RESULT"); 
// Handle received result data carefully and sec 
urely, 
// even though the data came from the Activity i 
n the same application. 
// Omitted, since this is a sample. Please refer 
to "3.2 Handling Input Data Carefully and Securely." 
Toast.makeText(this, Str(); 
break; 


4.1.3.5 使 用 活动 时 的 日 志 输 出 


当 使 用 一 个 活动 时 ， 意 图 的 内 容 通过 人 pie SIM o Mr 
内 容 将 被 输出 到 Logcat ， 因 此 在 这 种 情况 下 ， 敏 感 信息 不 应 该 包含 在 这 


e 目标 包 名 称 
e 目标 类 名 称 
e 由 Intent#setData() 设置 的 URI 


例如 ， 当 应 用 发 送 邮件 时 ， 如 果 应 用 将 邮件 地 址 指定 为 URI， 则 邮件 地 址 不 幸 会 输 
出 到 Logcat 。 所 以 ， 最 好 通过 设置 Extras 来 发 送 。 如 下 所 示 发 送 邮 件 时 ， 邮 
件 地 址 会 显示 给 logCat 。 


MainActivity.java 


// URI is output to the LogCat. 

Uri uri - Uri.parse("mailtoestQgmail.com"); 

Intent intent - new Intent(Intent.ACTION SENDTO, uri); 
startActivity(intent); 


当 使 用 Extras 时 ， 邮 件 地 址 不 会 再 展示 给 Logcat T ° 


MainActivity.java 


// Contents which was set to Extra, is not output to the LogCat. 
Uri uri - Uri.parse("mailto:"); 

Intent intent - new Intent(Intent.ACTION SENDTO, uri); 
intent.putExtra(Intent.EXTRA EMAIL, new String[] {"test@gmail.co 
m"); 

startActivity(intent); 


但 是 ， 有 些 情况 下 ， 其 他 应 用 可 以 使 用 ActivityManager#getRecentTasks() 读 
取 意 图 的 附加 数据 。 请 参阅 "4.1.2.2 不 指定 taskAffinity (LẸ) "* "4.1.2.3 
不 指定 launchMode (必需 ) "fe"4.1.2.4 不 要 为 启动 活动 的 Intent 设 

Æ FLAG ACTIVITY. NEW. TASK 标志 (必需) ”。 


4.1.3.6 防止 preferenceActivity 中 的 Fragment 注入 


当 从 PreferenceActivity 派生 的 类 是 公共 活动 时 ， 可 能 会 出 现 称 为 片段 注入 [5] 
的 问题 。 为 了 防止 出 现 这 个 问题 ， 有 必要 重 
Z PreferenceActivity .lsValidFragment() ， 并 检查 其 参数 的 有 效 性 ， 来 确保 Activ 
ity 不 会 无 意 中 处 理 任何 Fragment > (输入 数据 安全 的 更 多 信息 ， 请 参见 第 3.2 
节 “ 小 心 和 安全 地 处 理 输 入 数据 ”。) 
[5] Fragement 注入 的 更 多 信息 ， 请 参 
考 : https://securityintelligence.com/new-vulnerability-android-framework- 
fragment-injection/ ° 


下 面 我 们 显示 一 个 履 盖 IsValidFragment() 的 示例 。 请 注意 ， 如 果 源 代码 已 被 
混淆 ， 则 类 名 称 和 参数 值 比较 的 结果 可 能 会 更 改 。 在 这 种 情况 下 ， 有 必要 寻求 蔡 代 


禾 盖 的 isvalidFragment() 方法 的 示例 


protected boolean isValidFragment(String fragmentName) { 
// If the source code is obfuscated, we must pursue alternat 


ive strategies 


return PreferenceFragmentA.class 
me) 
|| PreferenceFragmentB.class 
me) 
|| PreferenceFragmentC.class 
me) 
|| PreferenceFragmentD.class 
me); 
} 


.getName(). 
.getName(). 
.getName(). 


.getName(). 


equals(fragmentNa 
equals(fragmentNa 
equals(fragmentNa 


equals(fragmentNa 


请 注意 ， 如 果 应 用 的 targetsdkversion 为 19 € K » KE 

盖 PreferenceActivity.isValidFragment() 将 导致 安全 蜡 常 ， 并 在 插 
入 

盖 


Fragment 时 终止 应 用 [调用 isvalidFragment() 时 ]， 因 此 在 这 种 情况 下 ， 履 


PreferenceActivity.isValidFragment() 是 强制 性 的 。 


4.2 接收 /发 送 广播 


4.2.1 示例 代码 


接收 广播 需要 创建 广播 接收 器 。 使 用 广播 接收 器 的 风险 和 对 策 ， 根 据 收 到 的 广播 的 
类 型 而 有 所 不 同 。 你 可 以 在 以 下 判断 流程 中 找到 你 的 广播 接收 器 。 接 收 应 用 无 法 
检查 发 送 广播 的 应 用 的 包 名 称 ， 它 是 链接 伙伴 所 需 的 。 因 此 ， 无 法 创建 用 于 伙伴 的 
广播 接收 器 。 


表 4.2 : 广播 接收 器 的 类 型 定 

类 型 定义 

私有 只 能 接收 来 自 相 同 应 用 的 广播 的 广播 接收 器 ， 所 以 是 最 安全 的 
公共 可 以 接收 来 自 未 指定 的 大 量 应 用 的 广播 的 广播 接收 器 

内 部 只 能 接收 来 自 其 他 内 部 应 用 的 广播 的 广播 接收 器 









Receive broadcasts only 
from the same application? 










Receive broadcasts only No 


from unspecified number 


application? 
Private Broadcast Receiver Public Broadcast Receiver In-house Broadcast Receiver 


Figure 4.2-1 
另外 ， 根 据 定 义 方法 ， 广 播 接收 器 可 以 分 为 两 类 : 静态 和 动态 。 它们 之 间 的 差异 可 
以 在 下 图 中 找到 。 示例 代码 展示 了 每 类 的 实现 方法 。 还 描述 了 发 送 应 用 的 实现 方 
法 ， 因 为 发 送信 息 的 对 策 取决 于 接收 器 来 确定 。 


表 4.2-2 





定义 方法 
1) HAE 
: 由 系统 发 送 的 ， 
由 AndroidManifest.xml 中 的 «receiver» 元 素 定 义 如 ACTION BA 
2) JR FI X 
前 ， 可 以 收 到 ， 


1) 可 以 收 到 前 


a: 通过 在 程序 中 调 到 的 广播 。2) 
x fil registerReceiver() fe unregisterReceiver() ， 以 由 程序 控制 
“动态 注册 和 注销 广播 接收 器 在 前 台 时 ， 可 ) 


能 创建 私有 广 : 


4.2.1.1 私有 广播 接收 器 


私人 广播 接收 器 是 最 安全 的 广播 接收 器 ， 因 为 只 能 接收 到 从 应 用 内 发 送 的 广播 。 动 
态 广播 接收 器 不 能 注册 为 私有 ， 所 以 私有 广播 接收 器 只 包含 静态 广播 接收 器 。 


要 点 (接收 广播 ) 

1) 将 导出 属性 显示 设 为 false 

2) 小 心 并 安全 地 处 理 收 到 的 意图 ， 即 使 意图 从 相同 的 应 用 中 发 送 
3) 敏感 信息 可 以 作为 返回 结果 发 送 ， 因 为 请 求 来 自 相 同 应 用 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.broadcast.privatereceiver" > 


<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<!-- Private Broadcast Receiver --> 
<!-- *** POINT 1 *** Explicitly set the exported attribu 
te to false. --> 
<receiver 
android: name=".PrivateReceiver" 
android: exported="false" /> 


<activity 
android: name=".PrivateSenderActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


C | 


PrivateReceiver.java 


package org.jssec.android.broadcast.privatereceiver; 


import android.app.Activity; 

import android.content.BroadcastReceiver; 
import android.content.Context; 

import android.content.Intent; 

import android.widget.Toast; 


public class PrivateReceiver extends BroadcastReceiver { 


QOverride 
public void onReceive(Context context, Intent intent) { 

// *** POINT 2 *** Handle the received intent carefully 
and securely, 

// even though the intent was sent from within the same 
application. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 

String param = intent.getStringExtra("PARAM"); 

Toast.makeText(context, 

String.format("Received param: ¥"%s¥"", param), 

Toast .LENGTH_SHORT).show(); 

// *** POINT 3 *** Sensitive information can be sent as 
the returned results since the requests come from within the sam 
e application. 

setResultCode(Activity.RESULT OK); 

setResultData("Sensitive Info from Receiver"); 

abortBroadcast(); 


向 私有 广播 接收 器 发 送 广播 的 代码 展示 在 下 面 : 
要 点 (发送 广播 ) 

4) 使 用 带 有 指定 类 的 显 式 意图 ， 来 调用 相同 应 用 中 的 接收 器 。 

5) 敏感 信息 可 以 发 送 ， 因 为 目标 接收 器 在 相同 应 用 中 。 

6) 小 心 并 安全 地 处 理 收 到 的 返回 结果 ， 即 使 数据 来 自 相 同 应 用 中 的 接收 器 。 


PrivateSenderActivity.java 


package org.jssec.android.broadcast.privatereceiver; 


import android.app.Activity; 

import android.content.BroadcastReceiver; 
import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 


4.2.1 示例 代码 


import android.widget.TextView; 
public class PrivateSenderActivity extends Activity ( 


public void onSendNormalClick(View view) ( 

// *** POINT 4 *** Use the explicit Intent with class sp 
ecified to call a receiver within the same application. 

Intent intent - new Intent(this, PrivateReceiver.class); 

// *** POINT 5 *** Sensitive information can be sent sin 
ce the destination Receiver is within the same application. 

intent.putExtra("PARAM", "Sensitive Info from Sender"); 

sendBroadcast(intent); 


j 


public void onSendOrderedClick(View view) { 
// *** POINT 4 *** Use the explicit Intent with class sp 
ecified to call a receiver within the same application. 
Intent intent - new Intent(this, PrivateReceiver.class); 
// *** POINT 5 *** Sensitive information can be sent sin 
ce the destination Receiver is within the same application. 
intent.putExtra("PARAM", "Sensitive Info from Sender"); 
sendOrderedBroadcast(intent, null, mResultReceiver, null 
pO nib conis 
} 


private BroadcastReceiver mResultReceiver = new BroadcastRec 
eiver() { 
@Override 
public void onReceive(Context context, Intent intent) { 
// *** POINT 6 *** Handle the received result data c 
arefully and securely, 
// even though the data came from the Receiver withi 
n the same application. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
String data = getResultData(); 
PrivateSenderActivity.this.logLine( 
String.format("Received result: ¥"%s¥"", data)); 


}; 


private TextView mLogView; 

@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("xn"); 


70 


4.2.1 示例 代码 


71 


4.2.1.2 公共 广播 接收 如 


公共 广播 接收 器 是 可 以 从 未 指定 的 大 量 应 用 程序 接收 广播 的 广播 接收 器 ， 因 此 有 必 
要 注意 ， 它 可 能 从 恶意 软件 接收 广播 。 


要 点 (接收 广播 ) 

1) 将 导出 属性 显 式 设 为 true 。 

2) 小 心 并 安全 地 处 理 收 到 的 意图 。 

3) 返回 结果 时 ， 不 要 包含 敏感 信息 。 

公共 广播 接收 器 的 示例 代码 可 以 用 于 静态 和 动态 广播 接收 器 。 


PublicReceiver.java 


4.2.1 示例 代码 


package org.jssec.android.broadcast.publicreceiver; 


import android.app.Activity; 

import android.content.BroadcastReceiver ; 
import android.content.Context; 

import android.content.Intent; 

import android.widget.Toast; 


public class PublicReceiver extends BroadcastReceiver { 


private static final String MY BROADCAST PUBLIC - 
"org.jssec.android.broadcast.MY BROADCAST PUBLIC"; 
public boolean isDynamic - false; 


private String getName() { 
return isDynamic ? "Public Dynamic Broadcast Receiver" 
"Public Static Broadcast Receiver"; 


} 


@Override 
public void onReceive(Context context, Intent intent) { 
// *** POINT 2 *** Handle the received Intent carefully 
and securely. 
// Since this is a public broadcast receiver, the reques 
ting application may be malware. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
if (MY BROADCAST PUBLIC.equals(intent.getAction())) { 
String param = intent.getStringExtra("PARAM"); 
Toast.makeText(context, 
String.format("%s:¥nReceived param: ¥"%s¥"", getName 


(), param), 


} 


// *** POINT 3 *** When returning a result, do not inclu 
de sensitive information. 

// Since this is a public broadcast receiver, the reques 
ting application may be malware. 

// If no problem when the information is taken by malwar 
e, it can be returned as result. 

setResultCode(Activity.RESULT OK); 

setResultData(String.format("Not Sensitive Info from 96s" 
, getName())); 

abortBroadcast(); 

} 


Toast .LENGTH_SHORT).show(); 


} 
i rcc — SS E et e —— er: inl 
静态 广播 接收 器 定义 在 AndroidManifest.xml 中 : 


AndroidManifest.xml 


N 
CD 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.broadcast.publicreceiver" > 
<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 


<!-- Public Static Broadcast Receiver --> 
<!-- *** POINT 1 *** Explicitly set the exported attribu 
te to true. --> 
<receiver 
android: name=".PublicReceiver" 
android:exported="true" > 
<intent-filter> 
«action android: name="org.jssec.android.broadcast ,MY 
_BROADCAST_PUBLIC" /> 
</intent-filter> 
</receiver> 


<service 
android: name=".DynamicReceiverService" 
android:exported="false" /> 


<activity 
android: name=".PublicReceiverActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


IE 到 


在 动态 广播 接收 器 中 ， 通 过 调用 程序 中 

的 registerReceiver() 或 unregisterReceiver() 来 执行 注册 /注销 。 为 了 通 
过 按钮 操作 执行 注册 /注销 ， 该 按钮 PublicReceiverActivity 中 定义 。 由 于 动态 
广播 接收 器 实例 的 作用 域 比 PublicReceiverActivity 长 ， 因 此 不 能 将 其 保存 

为 PublicReceiverActivity 的 成 员 变量 。 在 这 种 情况 下 ， 请 将 动态 广播 接收 器 
实例 保存 为 DynamicReceiverService 的 成 员 变量 ， 然 后 

从 PublicReceiverActivity 启动 /结束 DynamicReceiverService ， 来 间接 注 
册 / 注 销 动态 广播 接收 器 。 


DynamicReceiverService.java 


package org.jssec.android.broadcast.publicreceiver; 


import android.app.Service; 

import android.content.Intent; 
import android.content.IntentFilter; 
import android.os.IBinder; 

import android.widget.Toast; 


public class DynamicReceiverService extends Service { 


private static final String MY BROADCAST PUBLIC - 
"org.jssec.android.broadcast.MY BROADCAST PUBLIC"; 
private PublicReceiver mReceiver; 


QOverride 
public IBinder onBind(Intent intent) ( 
return null; 


j 


@Override 
public void onCreate() { 
super.onCreate(); 
// Register Public Dynamic Broadcast Receiver. 
mReceiver = new PublicReceiver(); 
mReceiver.isDynamic = true; 
IntentFilter filter = new IntentFilter(); 
filter.addAction(MY BROADCAST PUBLIC); 
filter.setPriority(1); // Prioritize Dynamic Broadcast R 
eceiver, rather than Static Broadcast Receiver. 
registerReceiver(mReceiver, filter); 
Toast.makeText(this, 
"Registered Dynamic Broadcast Receiver.", 
Toast.LENGTH SHORT).show(); 


} 


@Override 
public void onDestroy() { 
super.onDestroy(); 
// Unregister Public Dynamic Broadcast Receiver. 
unregisterReceiver(mReceiver); 
mReceiver - null; 
Toast.makeText(this, 
"Unregistered Dynamic Broadcast Receiver.", 
Toast.LENGTH SHORT).show(); 


PublicReceiverActivity.java 


package org.jssec.android.broadcast.publicreceiver; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view.View; 


public class PublicReceiverActivity extends Activity { 


QOverride 

protected void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 


j 


public void onRegisterReceiverClick(View view) ( 
Intent intent - new Intent(this, DynamicReceiverService. 
class); 


j 


public void onUnregisterReceiverClick(View view) ( 
Intent intent - new Intent(this, DynamicReceiverService. 


startService(intent); 


class); 


j 


stopService(intent); 


接 下 来 ， 展 示 了 将 广播 发 送 到 公共 广播 接收 器 的 示例 代码 。 当 向 公共 广播 接收 器 发 
送 广播 时 ， 需 要 注意 广播 可 以 被 恶意 软件 接收 。 


要 点 (发 送 广 播 ) 
4) 不 要 发 送 敏感 信息 
5) 接受 广播 时 ， 人 小心 并 安全 地 处 理 结果 数据 


PublicSenderActivity.java 


package org.jssec.android.broadcast.publicsender; 


import android.app.Activity; 

import android.content.BroadcastReceiver; 
import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class PublicSenderActivity extends Activity ( 


4.2.1 示例 代码 


private Static final String MY_BROADCAST_PUBLIC = 
"org.jssec.android.broadcast.MY BROADCAST PUBLIC"; 


public void onSendNormalClick(View view) ( 
// *** POINT 4 *** Do not send sensitive information. 
Intent intent - new Intent(MY BROADCAST PUBLIC); 
intent.putExtra("PARAM", "Not Sensitive Info from Sender" 
); 
sendBroadcast(intent); 


} 


public void onSendOrderedClick(View view) { 
// *** POINT 4 *** Do not send sensitive information. 
Intent intent = new Intent(MY_BROADCAST_PUBLIC); 
intent.putExtra( "PARAM", "Not Sensitive Info from Sender" 


); 
sendOrderedBroadcast(intent, null, mResultReceiver, null 
z Or NU mua 
} 


public void onSendStickyClick(View view) { 
// *** POINT 4 *** po not send sensitive information. 
Intent intent = new Intent(MY_BROADCAST_PUBLIC); 
intent.putExtra("PARAM", "Not Sensitive Info from Sender" 
); 
//sendStickyBroadcast is deprecated at API Level 21 
sendStickyBroadcast(intent); 


} 


public void onSendStickyOrderedClick(View view) { 
// *** POINT 4 *** Do not send sensitive information. 
Intent intent = new Intent(MY_BROADCAST_PUBLIC); 
intent.putExtra("PARAM", "Not Sensitive Info from Sender" 


//sendStickyOrderedBroadcast is deprecated at API Level 


sendStickyOrderedBroadcast(intent, mResultReceiver, null 
7 Ont null 
} 


public void onRemoveStickyClick(View view) { 
Intent intent = new Intent(MY_BROADCAST_PUBLIC); 
//removeStickyBroadcast is deprecated at API Level 21 
removeStickyBroadcast(intent); 


} 


private BroadcastReceiver mResultReceiver = new BroadcastRec 
eiver() { 


@Override 
public void onReceive(Context context, Intent intent) { 
// *** POINT 5 *** When receiving a result, handle t 
he result data carefully and securely. 


// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
String data = getResultData(); 
PublicSenderActivity.this.logLine( 
String.format("Received result: ¥"%s¥"", data)); 


ig 


private TextView mLogView; 

QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("¥n"); 


He 


4.2.1.3 内 部 广播 接收 器 


内 部 广播 接收 器 是 广播 接收 器 ， 它 将 永远 不 会 收 到 从 内 部 应 用 以 外 发 送 的 任何 广 
播 。 它 由 几 个 内 部 应 用 组 成 ， 用 于 保护 内 部 应 用 处 理 的 信息 或 功能 。 


要 点 (接收 广播 ) 

定义 内 部 签名 权限 来 接收 广播 。 
声明 使 用 内 部 签名 权限 来 接收 结果 
年 导出 属性 显 式 设置 为 true ° 
需要 静态 广播 接收 器 定义 的 内 部 签名 权限 。 

需要 内 部 签名 来 注册 动态 广播 接收 器 。 

确认 内 部 签名 权限 是 由 内 部 应 用 定义 的 。 

尽管 广播 是 从 内 部 应 用 发 送 的 ， 但 要 小 心 并 安全 地 处 理 接收 到 的 意图 。 
由 于 请 求 应 用 是 内 部 的 ， 因 此 可 以 返回 敏感 信息 。 

9) 导出 APK 时 ， 使 用 与 发 送 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 
内 部 广播 接收 器 的 示例 代码 可 用 于 静态 和 动态 广播 接收 器 。 


InhouseReceiver.java 


= E n 
en 


co 


package org.jssec.android.broadcast.inhousereceiver; 


import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.BroadcastReceiver; 
import android.content.Context; 

import android.content.Intent; 

import android.widget.Toast; 


public class InhouseReceiver extends BroadcastReceiver { 


// In-house Signature Permission 

private static final String MY PERMISSION - "org.jssec.andro 
id.broadcast.inhousereceiver.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" i 
n the debug.keystore. 


4.2.1 示例 代码 


sMyCertHash = "0EFB7236 328348A9 89718BAD DF57F5 
44 D5CCB4AE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" in 
the keystore. 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
j 
j 


return sMyCertHash; 


j 


private static final String MY BROADCAST INHOUSE = 
"org.jssec.android.broadcast.MY BROADCAST INHOUSE"; 
public boolean isDynamic - false; 


private String getName() ( 
return isDynamic ? "In-house Dynamic Broadcast Receiver" 
"In-house Static Broadcast Receiver"; 


} 


@Override 
public void onReceive(Context context, Intent intent) { 
// *** POINT 6 *** Verify that the in-house signature pe 
rmission is defined by an in-house application. 
if (!SigPerm.test(context, MY_PERMISSION, myCertHash(con 
text))) ( 
Toast .makeText(context, "The in-house signature perm 
ission is not declared by in-house application.", 
Toast.LENGTH LONG).show( ); 
return; 
} 
// *** POINT 7 *** Handle the received intent carefully 
and securely, 
// even though the Broadcast was sent from an in-house a 
pplication.. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
if (MY BROADCAST INHOUSE.equals(intent.getAction())) { 
String param = intent.getStringExtra("PARAM"); 
Toast.makeText(context, 
String.format("%s:¥nReceived param: ¥"%s¥"", getName 


(), param), 


} 


// *** POINT 8 *** Sensitive information can be returned 
Since the requesting application is inhouse. 
setResultCode(Activity.RESULT OK); 
setResultData(String.format("Sensitive Info from 9s", ge 
tName())); 
abortBroadcast(); 
} 


Toast .LENGTH_SHORT).show(); 
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4.2.1 示例 代码 


静态 广播 接收 器 定义 在 AndroidManifest.xml 中 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.broadcast.inhousereceiver" > 


<!-- *** POINT 1 *** Define an in-house signature permission 
to receive Broadcasts --> 
<permission 


android: name="org.jssec.android.broadcast .inhousereceiver .MY 
_PERMISSION" 

android: protectionLevel="Signature" /> 

<!-- *** POINT 2 *** Declare to use the in-house signature p 
ermission to receive results. --> 

«uses-permission 

android:name-"org.jssec.android.broadcast.inhousesender.MY P 
ERMISSION" /» 


«application 
android:icon-"Qdrawable/ic launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 


<!-- *** POINT 3 *** Explicitly set the exported attribu 
te to true. --> 
<!-- *** POINT 4 *** Require the in-house signature perm 
ission by the Static Broadcast Receiver 
definition. --> 
<receiver 
android: name=".InhouseReceiver" 
android: permission="org.jssec.android.broadcast.inho 
usereceiver .MY_PERMISSION" 
android: exported="true"> 
<intent-filter> 
«action android: name="org.jssec.android.broadcas 
t.MY BROADCAST INHOUSE" /» 
</intent-filter> 
</receiver> 


<service 
android: name=".DynamicReceiverService" 
android:exported="false" /> 


<activity 
android: name="".InhouseReceiverActivity" 
android: label="@string/app_name" 
android: exported="true" > 
«intent-filter- 


«action android: name="android.intent.action.MAIN" 
is 
«category android:name-"android.intent.category. 
LAUNCHER" /» 
</intent-filter> 
</activity> 
</application> 
</manifest> 


‘ a p 





在 动态 广播 接收 器 中 ， 通 过 调用 程序 中 

的 registerReceiver() 或 unregisterReceiver() 来 执行 注册 /注销 。 为 了 通 
过 按钮 操作 执行 注册 /注销 ， 该 按钮 PublicReceiverActivity 中 定义 。 由 于 动态 
广播 接收 器 实例 的 作用 域 比 PublicReceiverActivity 长 ， 因 此 不 能 将 其 保存 

为 PublicReceiverActivity 的 成 员 变 量 。 在 这 种 情况 下 ， 请 将 动态 广播 接收 器 
实例 保存 为 DynamicReceiverService 的 成 员 变量 ， 然 后 

从 PublicReceiverActivity 启动 /结束 DynamicReceiverService ， 来 间接 注 
册 / 注 销 动态 广播 接收 器 。 


InhouseReceiverActivity.java 


package org.jssec.android.broadcast.inhousereceiver; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view. View; 


public class InhouseReceiverActivity extends Activity { 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 


j 


public void onRegisterReceiverClick(View view) { 
Intent intent - new Intent(this, DynamicReceiverService. 
class); 
startService(intent); 
j 


public void onUnregisterReceiverClick(View view) ( 
Intent intent - new Intent(this, DynamicReceiverService. 
class); 
stopService(intent); 
j 


DynamicReceiverService.java 


package org.jssec.android. broadcast. inhousereceiver; 


import 
import 
import 
import 
import 


android.app.Service; 
android.content.Intent; 
android.content.IntentFilter; 
android.os.IBinder; 
android.widget.Toast; 


public 


class DynamicReceiverService extends Service { 


private static final String MY BROADCAST INHOUSE = 
"org.jssec.android.broadcast.MY BROADCAST INHOUSE"; 


private InhouseReceiver mReceiver; 


@Override 


public IBinder onBind(Intent intent) { 


return null; 


} 


QOverride 

public void onCreate() ( 
super.onCreate(); 
mReceiver = 
mReceiver.isDynamic = 
IntentFilter filter = 


true; 


new InhouseReceiver(); 


new IntentFilter(); 


filter.addAction(MY BROADCAST INHOUSE); 
filter.setPriority(1); // Prioritize Dynamic Broadcast R 


eceiver, 


rather than Static Broadcast Receiver. 


// *** POINT 5 *** When registering a dynamic broadcast 


receiver, 


registerReceiver(mReceiver, filter, 


roadcast.inhousereceiver.MY PERMISSION", 
Toast.makeText(this, 


require the in-house signature permission. 


"org.jssec.android.b 
Cub 


"Registered Dynamic Broadcast Receiver.", 


Toast.LENGTH SHORT).show(); 
j 


QOverride 
public void onDestroy() ( 
super.onDestroy(); 


unregisterReceiver(mReceiver); 
mReceiver - null; 
Toast.makeText(this, 


"Unregistered Dynamic Broadcast Receiver.", 


Toast.LENGTH SHORT).show(); 


SigPerm.java 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try c 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager( ); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
Cry 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


导出 APK 时 ， 使 用 与 发 送 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 


4.2.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 





Key store password: 








Key alias: 





Key password: 
[_] Remember passwords 


| Previous | Cancel | | Help | 





下 面 ， 展 示 了 用 于 向 内 部 广播 接收 器 发 送 广播 的 示例 代码 。 

要 点 (发 送 广播 ) 

10) 定义 内 部 签名 权限 来 接收 结果 。 

11) 声明 使 用 内 部 签名 权限 来 接收 广播 。 

12) 确认 内 部 签名 权限 是 由 内 部 应 用 定义 的 。 

13) 由 于 请 求 应 用 是 内 部 应 用 ， 因 此 可 以 返回 敏感 信息 。 

14) 需要 接收 器 的 内 部 签名 权限 。 

15) 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 

16) 导出 APK 时 ， 请 使 用 与 目标 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 


AndroidManifest.xml 
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4.2.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.broadcast.inhousesender" > 


«uses-permission android:name="android.permission.BROADCAST_ 
STICKY 77> 


<!-- *** POINT 10 *** Define an in-house signature permissio 
n to receive results. --> 
<permission 


android: name="org.jssec.android.broadcast.inhousesender .MY_P 
ERMISSION" 
android: protectionLevel="Signature" /> 


<!-- *** POINT 11 *** Declare to use the in-house signature 
permission to receive Broadcasts. --> 

<uses-permission 

android: name="org.jssec.android.broadcast .inhousereceiver .MY 
_PERMISSION" /> 


<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name="o0rg.jssec.android.broadcast.inhousesen 
der .InhouseSenderActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</Activity— 
</application> 
</manifest> 


ee |) 


InhouseSenderActivity.java 


package org.jssec.android.broadcast.inhousesender; 


import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.BroadcastReceiver ; 
import android.content.Context; 

import android.content.Intent; 
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4.2.1 示例 代码 


import android.os.Bundle; 
import android.view.View; 
import android.widget.TextView; 
import android.widget.Toast; 


public class InhouseSenderActivity extends Activity { 


// In-house Signature Permission 

private static final String MY PERMISSION - "org.jssec.andro 
id.broadcast.inhousesender.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" i 
n the debug.keystore. 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" in 
the keystore. 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
} 
} 
return sMyCertHash; 


} 


private static final String MY_BROADCAST_INHOUSE = 
"org.jssec.android.broadcast .MY_BROADCAST_INHOUSE"; 


public void onSendNormalClick(View view) ( 
// *** POINT 12 *** Verify that the in-house signature p 
ermission is defined by an in-house application. 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 


) í 
Toast.makeText(this, "The in-house signature permiss 
ion is not declared by in-house application.", 
Toast .LENGTH_LONG).show(); 
return; 
} 
// *** POINT 13 *** Sensitive information can be returne 
d since the requesting application is in-house. 
Intent intent = new Intent(MY BROADCAST INHOUSE); 
intent.putExtra("PARAM", "Sensitive Info from Sender"); 
// *** POINT 14 *** Require the in-house signature permi 
ssion to limit receivers. 
sendBroadcast(intent, "org.jssec.android.broadcast.inhou 
sesender.MY PERMISSION"); 


j 
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4.2.1 示例 代码 


public void onSendOrderedClick(View view) { 
// *** POINT 12 *** Verify that the in-house signature p 
ermission is defined by an in-house application. 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 
) {í 
Toast.makeText(this, "The in-house signature permiss 
ion is not declared by in-house application.", 
Toast .LENGTH_LONG) .show(); 
return; 
} 
// *** POINT 13 *** Sensitive information can be returne 
d since the requesting application is in-house. 
Intent intent = new Intent(MY BROADCAST INHOUSE); 
intent.putExtra("PARAM", "Sensitive Info from Sender"); 
// *** POINT 14 *** Require the in-house signature permi 
ssion to limit receivers. 
sendOrderedBroadcast(intent, "org.jssec.android.broadcas 


t.inhousesender.MY PERMISSION", 
mResultReceiver, null, 0, null, null); 
} 


private BroadcastReceiver mResultReceiver = new BroadcastRec 
eiver() { 


@Override 
public void onReceive(Context context, Intent intent) { 
// *** POINT 15 *** Handle the received result data 
carefully and securely, 
// even though the data came from an in-house applic 
ation. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
String data = getResultData(); 
InhouseSenderActivity.this.logLine(String.format("Re 
ceived result: ¥"%s¥"", data)); 
} 
}; 


private TextView mLogView; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("¥n"); 
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SigPerm.java 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm ( 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) 4 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


j 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName -- null) return null; 
Eny 4 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager(); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 


import android.content.pm.Signature; 
public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


j 


public static String hash(Context ctx, String pkgname) 1 
if (pkgname -- null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager.GET SIGNATURES); 
if (pkginfo.signatures.length !- 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
try t 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


导出 APK 时 ， 使 用 与 发 送 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 


4.2.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 


Key alias: 


Key password: 
[ ] Remember passwords 
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4.2.2 规则 书 


遵循 下 列 规则 来 发 送 或 接受 广播 。 


4.2.2.1 仅 在 应 用 中 使 用 的 广播 接收 器 必须 设置 为 私有 (必需) 


仅 在 应 用 中 使 用 的 广播 接收 器 应 该 设置 为 私有 ， 以 避免 意外 地 从 其 他 应 用 接收 任何 
广播 。 它 将 防止 应 用 功能 滥用 或 异常 行为 。 


仅 在 同一 应 用 内 使 用 的 接收 器 ， 不 应 设计 为 设置 意图 过 滤器 。 由 于 意图 过 滤器 的 特 
性 ， 即 使 通过 意图 过 滤器 调用 同一 应 用 中 的 私有 接收 器 ， 其 他 应 用 的 公共 私有 也 可 
能 被 意外 调用 。 


AndroidManifest.xml (不 推荐 ) 





<!-- Private Broadcast Receiver --> 

«I-- *** POINT 1 *** Set the exported attribute to false explici 
tly. --> 

«receiver 


android:name-z".PrivateReceiver" 
android:exported-"false" > 
«intent-filter» 


«action android:name-"org.jssec.android.broadcast.MY ACT 
ION" /> 


«/intent-filter» 
«/receiver» 


i$ 4 "4.2.3.1 导出 属性 和 意图 过 滤器 设置 的 组 合 (对 于 接收 器 ) ”。 


4.2.2.2 小 心 和 安全 地 处 理 收 到 的 意图 (必需 ) 


虽然 风险 因 广 播 接收 器 的 类 型 而 异 ， 但 处 理 接收 到 的 意图 数据 时 ， 首 先 应 该 验证 意 
图 的 安全 性 。 由 于 公共 广播 接收 器 从 未 指定 的 大 量 应 用 接收 意图 ， 它 可 能 会 收 到 悉 
意 软件 的 攻击 意图 。 私 有 广播 接收 器 将 永远 不 会 直接 从 其 他 应 用 接收 任何 意图 ， 但 
公共 组 件 从 其 他 应 用 接收 的 意图 数据 ， 可 能 会 转发 到 私有 广播 接收 器 。 所 以 不 要 认 
为 收 到 的 意图 在 没有 任何 验证 的 情况 下 ， 是 完全 安全 的 。 内 部 广播 接收 机 具有 一 定 
程度 的 风险 ， 因 此 还 需要 验证 接收 意图 的 安全 性 。 


请 参考 “3.2 小 心 和 安全 地 处 理 输 入 数据 ”。 


4.2.2.3 验证 签名 权限 是 否 由 内 部 应 用 定义 后 ， 使 用 内 部 定义 的 签 
名 权限 (必需) 


只 接收 内 部 应 用 发 送 的 广播 的 内 部 广播 接收 器 ， 应 受 内 部 定义 的 签名 许可 保护 。 
AndroidManifest.xml 中 的 权限 定义 /权限 请 求 声明 不 足以 保护 ， 因 此 请 参 
阅 “5.2.1.2 如 何 使 用 内 部 定义 的 签名 权限 在 内 部 应 用 之 间 进 行 通 信 ”。 通过 


对 receiverPermission 参数 指定 内 部 定义 的 签名 权限 来 结束 广播 ， 需 要 相同 的 
方式 的 验证 。 


4.2.2.4 返回 结果 信息 时 ， 清 注意 来 自 目标 应 用 的 结果 信息 泄露 
(必需 ) 


通过 setResult() 返回 结果 信息 的 应 用 的 可 靠 性 取决 于 广播 接收 器 的 类 型 。 对 于 
公共 广播 接收 器 ， 目 标 应 用 可 能 是 恶意 软件 ， 可 能 存在 恶意 使 用 结果 信息 的 风险 。 
对 于 私有 广播 接收 器 和 内 部 广播 接收 器 ， 结 果 的 目的 地 是 内 部 开发 的 应 用 ， 因 此 无 
需 介 意 结 果 信 息 的 处 理 。 


如 上 所 述 ， 当 从 广播 接收 器 返回 结果 信息 时 ， 需 要 注意 从 目标 应 用 泄漏 的 结果 信 
A 8 


4.2.2.5 使 用 广播 发 送 敏感 信息 时 ， 限 制 能 收 到 的 接收 器 (€) 


广播 是 所 创建 的 系统 ， 用 于 向 未 指定 的 大 量 应 用 广播 信息 或 一 次 通知 其 时 间 。 
此 ， 广 播 敏感 信息 需要 说 惯 设计 ， 以 防止 恶意 软件 非法 获取 信息 。 对 于 广播 敏感 信 
息 ， 只 有 可 靠 的 广播 接收 器 可 以 接收 它 ， 而 其 他 广播 接收 器 则 不 能 。 以 下 是 广播 发 
送 方法 的 一 些 示 例 。 


e 方法 是 ， 通 过 使 用 显 式 意图 ， 将 广播 仅仅 发 送 给 预期 的 可 靠 广播 接收 器 ， 来 固 
定 地 址 。 

o 当 它 发 送 给 同一 个 应 用 中 的 广播 接收 器 时 ， 通 
过 Intent#setClass(Context, Class) 指定 地 址 。 具体 代码 ， 请 参 
阅 “4.2.1.1 私有 广播 接收 器 - 接收 /发 送 广播 "的 示例 代码 部 分 。 

o 当 它 发 送 到 其 他 应 用 中 的 广播 接收 器 时 ， 通 
过 Intent#setClassName(String, String) 指定 地 址 。 通过 比较 目标 
包 中 APK 签名 的 开发 人 员 密 钥 和 白 名 单 来 发 送 广播 ， 来 确认 允许 的 应 
用 。 实际 上 下 面 的 使 用 隐 式 意图 的 方法 更 实用 。 

e 方法 是 ， 通 过 将 receiverPermission 指定 为 内 部 定义 的 签名 权限 ， 并 使 可 
靠 的 广播 接收 器 声明 使 用 此 签名 权限 ， 来 发 送 广播 。 有 具体 代码 请 参阅 “4.2.1.3 
内 部 广播 接收 器 - 接收 /发 送 广播 "的 示例 代码 部 分 。 另外 ， 实 现 这 种 广播 发 送 
方法 ， 需 要 应 用 规则 “4.2.2.3 在 验证 签名 权限 由 内 部 应 用 定义 之 后 ， 使 用 内 部 
定义 的 签名 权限 ”。 


4.2.2.6 粘性 广播 中 禁止 包含 敏感 信息 (必需 ) 


通常 情况 下 ， 广 播 由 可 用 的 广播 接收 器 接收 后 会 消失 。 另 一 方面 ， 粘 性 广播 〈 以 下 
粘性 广播 包括 粘性 有 序 广 播 ) 即使 由 可 用 的 广播 接收 器 接收 也 不 会 从 系统 中 消失 ， 
并 且 能 够 由 registerReceiver() 接收 。 当 粘性 广播 变 得 不 必要 时 ， 可 以 随时 
用 removeStickyBroadcast() 任意 删除 它 。 


由 于 在 预 设 情况 下 ， 粘 性 广播 被 隐 式 意图 使 用 。 具有 指 

定 receiverPermission 参数 的 广播 无 法 发 送 。 出 于 这 个 原因 ， 通 过 粘性 广播 发 
送 的 信息 ， 可 以 被 多 个 未 指定 的 应 用 访问 - 包括 恶意 软件 - 因此 敏感 信息 禁止 以 这 
种 方式 发 送 。 请 注意 ， 粘 性 广播 在 Android 5.0 (API Level 21) 中 已 弃 用 。 


4.2.2.7 注意 不 指定 receiverPermission 的 有 序 广播 无 法 传递 
LE) 


不 指定 receiverPermission 参数 的 有 序 广播 ， 可 以 由 未 指定 的 大 量 应 用 接收 ， 
包括 恶意 软件 。 有 序 广播 用 于 接收 来 自 接收 器 的 返回 信息 ， 并 使 几 个 接收 器 逐一 执 
ITA o 广播 按 优先 顺序 发 送 给 接收 器 。 因此 ， 如 果 高 优先 级 恶意 软件 先 接收 广 
播 并 执行 abortBroadcast() ， 则 广播 将 不 会 传送 到 后 面 的 接收 器 。 


4.2.2.8 小 心 并 安全 地 处 理 来 自 广播 接收 器 的 返回 的 结果 数据 ( 必 
&) 


基本 上 ， 考 虑 到 接收 结果 可 能 是 攻击 数据 ， 结 果 数 据 应 该 被 安全 地 处 理 ， 尽 管 风 险 
取决 于 返回 结果 数据 的 广播 接收 器 的 类 型 。 


当 发 送 方 ( 源 ) 广播 接收 器 是 公共 广播 接收 器 时 ， 它 从 未 指定 的 大 量 应 用 接收 返回 
数据 。 所 以 它 也 可 能 会 收 到 恶意 软件 的 攻击 数据 。 当 发 送 方 ( 源 ) 广播 接收 器 是 

私有 广播 接收 者 时 ， 似 乎 没有 风险 。 然而 ， 其 他 应 用 接收 的 数据 可 能 会 间接 作为 结 
果 数 据 转发 。 因此， 如 果 没 有 任何 验证 ， 结 果 数 据 不 应 该 被 认为 是 安全 的 。 BR 

送 方 ( 源 ) 广播 接收 器 是 内 部 广播 接收 器 时 ， 它 具有 一 定 程度 的 风险 。 NX FR 
到 结果 数据 可 能 是 攻击 数据 ， 应 该 以 安全 的 方式 处 理 它 。 


请 参考 “3.2 小 心 和 安全 地 处 理 输入 数据 ”。 


4.2.2.9 提供 二 手 素材 时 ， 素 材 应 该 以 相同 保护 级 别提 供 (€) 


当 由 权限 保护 的 信息 或 功能 素材 被 二 次 提供 给 其 他 应 用 时 ， 有 必要 通过 声明 与 目标 
应 用 相同 的 权限 来 维持 保护 标准 。 在 Android 权限 安全 模型 中 ， 权 限 仅 管理 来 自 应 
用 的 受 保护 素材 的 直接 访问 。 由 于 这 些 特 点 ， 所 得 素材 可 能 会 被 提供 给 其 他 应 用 ， 
而 无 需 声 明 保护 所 需 的 权限 。 这 实际 上 与 重新 授权 相同 ， 因 为 它 被 称 为 重新 授权 问 
题 。 请 参阅 "5.2.3.4 重新 授权 问题 ”。 


4.2.3 高 级 话题 


4.2.8.4 结合 导出 属性 和 意图 过 滤器 设置 (用 于 接收 器 ) 


D o Did 时 ， 置 和 意图 过 滤器 元 素 的 允许 的 组 合 。 下 面 介 
绍 为 什么 原则 上 禁止 使 用 带 有 意图 器 定义 的 exported ="false" » 


过 滤 
表 4.2-3 可 用 与 否 ， 导 出 属性 和 意图 过 滤器 元 素 的 组 合 


属性 的 值 
True False 未 指定 
意图 过 滤器 已 定义 OK 不 使 用 不 使 用 
意图 过 滤器 未 定义 OK OK 不 使 用 


未 指定 接收 器 的 导出 属性 时 ， 接 收 器 是 否 为 公共 的 ， 取 决 于 该 接收 器 的 意图 过 滤器 
的 存在 与 否 [6]。 但 是 ， 在 本 手册 中 ， 禁 止 将 导出 的 属性 设置 为 不 确定 的 。 通 常 ， 
如 前 所 述 ， 最 好 避免 依赖 任何 给 定 API 的 默认 行为 的 实现 ; 此 外 ， 如 果 存 在 明确 的 
方法 (如 导出 属性 ) 来 启用 重要 的 安全 相关 设置 ， 那 么 使 用 这 些 方法 总 是 一 个 好 主 


o 


[6] 如 果 意 图 过 滤器 已 定义 ， 接 收 器 是 公共 的 ， 否 则 是 私有 的 。 更 多 信息 请 参考 
https://developer.android.com/guide/topics/manifest/receiver- 
element.html#exported ° 


即使 在 相同 的 应 用 中 将 广播 发 送 到 私有 接收 器 ， 其 他 应 用 中 的 公共 接收 器 也 可 能 会 
意外 调用 。 这 就 是 为 什么 禁止 指定 带 有 意图 过 滤器 定义 
的 exported ="false" 。 以 下 两 张 图 展示 了 意外 调用 的 发 生 情 况 。 


图 4.2-4 是 一 个 正常 行为 的 例子 ， 隐 式 意图 只 能 在 同一 个 应 用 中 调用 私有 接收 器 
(ERA) 。 意 图 过 滤器 (在 图 中 ， action ="X" ) 仅 在 应 用 A 中 定义 ， 所 以 这 
是 预期 的 行为 。 


Application A 
Send a broadcast with 
the implicit intent 


Intent(“X”) 


Application C 


Private Receiver A-1| Send a broadcast with 


exported=" false” the implicit intent 


action=" X Intent(“X”) 


Since the receiver A-1 is private one, 
it can receive broadcasts only from the 
application A. 


Android device 





Figure 4.2-4 


E 4.2-5 是 个 例子 ， 应 用 B 和 应 用 A 中 都 定义 了 意图 过 滤器 (LAF 

的 action ="X" ) 的 。 首 先 ， 当 另 一 个 应 用 (应 用 C) 通过 隐 式 意图 发 送 广播 ， 
它们 不 被 私有 接收 器 (A-1) 接收 。 所 以 不 会 有 任何 安全 问题 。 (HAAA PAE 
EKI o) 从 安全 角度 来 看 ， 问 题 是 应 用 A 对 同一 应 用 中 的 私有 接收 器 的 调 
用 。 当 应 用 人 广播 隐 式 意图 时 ， 不 仅 是 相同 应 用 中 的 私有 接收 器 ， 而 且 有 具有 相同 
意图 过 滤器 定义 的 公共 接收 器 (B-1) 也 可 以 接收 意图 。 (图 中 的 红色 箭头 标 

记 ) 。 在 这 种 情况 下 ， 敏 感 信息 可 能 会 从 应 用 人 发送 到 BB。 当 应 用 B 是 恶意 软件 
时 ， 会 导致 敏感 信息 的 泄漏 。 当 发 送 有 序 广播 时 ， 它 可 能 会 收 到 意外 的 结果 信息 。 


然而 ， 当 广播 接收 器 仅 接 收 由 系统 发 送 的 广播 意图 时 ， 应 使 用 带 有 意图 过 滤器 定义 
的 exported-"false" 。 其 他 组 合 不 应 使 用 。 这 是 基于 这 样 一 个 事实 ， 即 系统 发 
送 的 广播 意图 可 以 通过 exported="false" 来 接收 。 如 果 其 他 应 用 发 送 的 意图 
的 ACTION 与 系统 发 送 的 广播 意图 相同 ， 则 可 能 会 通过 接收 它 而 导致 意外 行为 。 
但 是 ， 这 可 以 通过 指定 exported-"false" 来 防止 。 


4.2.3.2 接收 器 在 启动 应 用 之 前 不 会 被 注册 


请 务必 注意 ， 在 AndroidManifest.xml 中 定义 的 静态 广播 接收 器 ， 在 安装 后 不 会 
自动 启用 [7]。 应 用 只 有 在 第 一 次 启动 后 才能 接收 广播 ; 因此 ， 安 装 后 无 法 使 用 接收 
的 广播 作为 启动 操作 的 触发 器 。 但 是 ， 如 果 在 发 送 广 播 时 设置 

了 Intent.FLAG INCLUDE STOPPED PACKAGES 标志 ， 则 即使 是 尚未 第 一 次 启动 的 
应 用 也 会 收 到 该 广播 。 


[7] 在 3.0 之 前 的 版 本 中 ， 接 收 器 可 以 通过 安装 App 自动 启动 。 


4.2.3.3 私有 广播 接收 器 可 以 接收 由 相同 UID 发 送 的 广播 


相同 的 UID 可 以 提供 给 几 个 应 用 。 即使 它 是 私有 广播 接收 器 ， 也 可 以 接收 从 UID 
相同 的 应 用 发 送 的 广播 。 但 是 ， 这 不 会 是 一 个 安全 问题 e 由 于 可 以 确保 UID 相同 
的 应 用 具有 用 于 签署 APK 的 一 致 的 开发 人 员 密 钥 。 这 意味 着 私有 广播 接收 器 收 到 
的 广播 ， 只 是 从 内 部 应 用 发 送 的 广播 。 


4.2.3.4 广播 的 类 型 和 特性 


根据 是 否 有 序 以 及 是 否 粘 潇 的 组 合 ， 广 播 有 四 种 类 型 。 要 发 送 的 广播 类 型 基于 广播 
发 送 方法 而 确定 。 请 注意 ， 粘 性 广播 在 Android 5.0 (API Level 21) 中 已 弃 用 。 


类 型 发 送 方 法 是 否 有 序 ”是 否 粘 性 
普通 sendBroadcast ( ) E F 
HH sendOrderedBroadcast() 是 否 
粘性 sendStickyBroadcast ( ) ES 是 
粘性 有 序 sendStickyOrderedBroadcast() 是 是 


每 个 广播 类 型 的 特性 描述 如 下 : 


类 

A 特性 

普 首 通 广播 发 送 到 可 接收 的 广播 接收 器 时 消失 。 广播 由 多 个 广播 接收 器 同时 

通 接收。 这 与 有 序 广播 有 所 不 同 。 广 播 被 允许 由 特定 的 广播 接收 机 接收 。 
有 序 广播 的 特点 是 ， 可 接收 的 广播 接收 器 ee 
播 接收 器 较 早 收 到 。 当 广播 被 传送 到 所 有 广播 接收 器 或 广播 接收 器 

有 用 abortBroadcast() ° 广播 将 消失 。 

序 广播 接收 器 接收 。 另外 ， 广 播 接 收 器 发 送 的 结果 信息 ， 可 以 由 发 送 者 使 用 


有 序 广播 接收 。SMS 接收 通知 的 广播 ( SMS_RECEIVED ) 是 有 序 广播 的 
代表 性 示例 o 


粘性 广播 不 会 消失 并 保留 在 系统 中 ， 然 后 调用 registerReceiver() 的 
应 用 可 以 稍 后 接收 粘性 广播 。 由 于 粘性 广播 与 其 他 广播 不 同 ， 它 不 会 自动 
AX ”消失 。 因 此， 当 不 需要 粘性 广播 时 ， 需 要 显 式 调 
性 ”用 removeStickyBroadcast() 来 删除 粘 江 广播 。 此外， 带 有 特定 权限 
的 受 限 的 广播 接收 器 无 法 接收 广播 。 电池 状态 变化 通知 的 广播 
( ACTION BATTERY CHANGED ) 是 粘性 广播 的 代表 性 示例 。 


这 是 具有 有 序 和 粘性 特征 的 广播 。 与 粘性 广播 相同 ， 它 不 能 仅仅 允许 带 有 
特定 权限 的 广播 接收 器 接收 广播 。 


Way ee 


从 广播 特性 行为 的 角度 来 看 ， 上 表 反 过 来 排列 在 下 面 的 表 中 。 


广播 的 特征 行为 普通 有 序 ”粘性 BAR 
由 权限 限制 的 广播 接收 器 可 以 接收 广播 OK OK -  - 
从 广播 接收 器 获得 过 程 结果 - OK | - OK 
使 广播 接收 器 按 顺序 处 理 广播 - OK - OK 
稍 后 收 到 已 经 发 送 的 广播 - |-> OK OK 


4.2.3.5 广播 信息 可 能 输出 到 Logcat 


安放 /接收 的 广播 基本 上 不 会 输出 到 【9gcat + IR s HA HE ILU 
错误 时 ， 将 输出 错误 日 志 。 由 广播 发 送 的 意图 信息 包含 在 错误 日 志 中 ， 因 此 在 发 生 
错误 之 后 ， 需 要 注意 ， 发 送 关 广播 时 ， 意 图 的 信息 显示 在 LogCat 中 。 


发 送 方 的 缺少 权限 的 错误 : 


W/ActivityManager(266): Permission Denial: broadcasting Intent { 
act=org.jssec.android.broadcastreceive 
r.creating.action.MY_ACTION } from org.jssec.android.broadcast.s 
ending (pid=4685, uid=10058) requires o 
rg.jssec.android.permission.MY_PERMISSION due to receiver org.js 
sec.android.broadcastreceiver.creating/ 
org.jssec.android.broadcastreceiver.creating.CreatingType3Receiv 
er 


接收 方 的 缺少 权限 的 错误 : 


W/ActivityManager(275): Permission Denial: receiving Intent { ac 
t=org.jssec.android.broadcastreceiver.c 

reating.action.MY_ACTION } to org.jssec.android.broadcastreceive 
r.creating requires org.jssec.android.p 

ermission.MY_PERMISSION due to sender org.jssec.android.broadcas 
t.sending (uid 10158) 


4.2.3.6 在 主屏 幕 放置 应 用 的 快捷 方式 时 ， 需 要 注意 的 东西 


在 下 面 的 内 容 中 ， 我 们 讨论 了 创建 竺 快捷 方式 时 的 一 些 需要 注意 的 东西 ， 它 们 用 于 从 
主屏 幕 启动 应 用 ， en > 例如 Web 浏览 器 中 的 书签 HH 
一 个 例子 ， 我 们 考虑 如 下 所 示 的 实现 。 


在 主屏 幕 放 置 应 用 的 快捷 方式 : 


Intent targetIntent = new Intent(this, TargetActivity.class); 
// Intent to request shortcut creation 


Intent intent = new Intent("com.android.launcher.action.INSTALL_ 
SHORTCUT"); 

// Specify an Intent to be launched when the shortcut is tapped 
intent.putExtra(Intent.EXTRA SHORTCUT INTENT, targetIntent); 
Parcelable icon = Intent.ShortcutIconResource.fromContext (contex 
t, iconResource); 
intent.putExtra(Intent.EXTRA SHORTCUT ICON RESOURCE, icon); 
intent.putExtra(Intent.EXTRA SHORTCUT NAME, title); 
intent.putExtra("duplicate", false); 


// Use Broadcast to send the system our request for shortcut cre 
ation 
context.sendBroadcast(intent); 


在 由 上 面 的 代码 片段 发 送 的 广播 中 ， 接 收 器 是 主屏 幕 应 用 ， 并 且 很 难 识别 包 名 ; R 
们 必须 说 惯 记 住 ， 这 是 一 个 向 公共 接收 器 传递 的 隐 式 意图 。 因此 ， 此 片段 发 送 的 广 
播 ， 可 以 被 任何 任意 应 用 接收 ， 包 括 恶意 软件 ; 因此 ， 在 意图 中 包含 敏感 信息 可 能 
会 造成 信息 泄漏 的 风险 。 特别 重要 的 是 要 注意 ， 在 创建 基于 URL 的 快捷 方式 时 ， 
秘密 信息 可 能 包含 在 URL 本 身 中 。 


作为 对 策 ， 有 必要 遵循 “4.2.1.2 公共 广播 接收 器 - 接收 /发 送 广播 "中 列 出 的 要 点 ， 并 
确保 传输 的 意图 不 包含 敏感 信息 。 


4.3 创建 /使 用 内 容 供应 器 


由 于 ContentResolver 和 SQLiteDatabase 的 接口 非常 相似 ， 所 以 常常 有 个 误 

解 ， Content Provider 与 SQLiteDatabase 的 关系 如 此 密切 。 但 是 ， 实际 上 

内 容 供 应 器 只 是 提供 了 应 用 间 数 据 共享 的 接口 ， 所 以 需要 注意 的 是 它 不 会 影响 每 种 
数据 保存 格式 。 为 了 保存 内 容 供应 器 中 的 数据 ， 可 以 使 用 sQLiteDatabase ， 也 
可 以 使 用 其 他 保存 格式 ， 如 XML 文件 格式 。 以 下 示例 代码 中 不 包含 任何 数据 保存 
过 程 ， 因 此 请 在 需要 时 添加 它 。 


4.3.1 示例 代码 

使 用 内 容 供应 器 的 风险 和 对 策 取决 于 内 容 供 应 器 的 使 用 方式 。 在 本 节 中 ， 我 们 根据 
内 容 供应 器 的 使 用 方式 ， 对 5 种 类 型 的 内 容 供应 器 进行 了 分 类 。 您 可 以 通过 下 面 显 
示 的 图 表 ， 找 出 您 应 该 创建 哪 种 类 型 的 内 容 供 应 器 。 

表 4.3-1 内 容 供 应 器 类 型 定义 

私有 不 能 由 其 他 应 用 使 用 的 内 容 供 应 器 ， 所 以 是 最 安全 的 

公共 应 该 由 未 指定 的 大 量 应 用 使 用 的 内 容 供应 器 

只 能 由 可 信 的 伙伴 公司 开发 的 特定 应 用 使 用 的 内 容 供应 器 

只 能 由 其 它 内 部 应 用 使 用 的 内 容 供 应 器 

临时 基本 上 是 私有 内 容 供应 器 ， 但 允许 特定 应 用 访问 特定 URI 


Yes No 


Provide services always? 
Yes Use only in No 
e same application? 
Yes Allow unspecified number No 
applications to use? 
Yes Allow specified company No 
applications to use 

š ^ à í N 4 Temporary 

Private Content Provider Public Content Provider Partner Content Provider In-house Content Provider 1 
Content Provider 


Figure 4.3-1 
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4.3.1.1 创建 /使 用 私有 内 容 供 应 器 

私有 内 容 供应 器 是 只 由 单一 应 用 使 用 的 内 容 提供 者 ， 它 是 最 安全 的 内 容 供应 器 [8] 。 
下 面 展 示 了 如 何 实现 私有 内 容 供应 器 的 示例 代码 。 

要 点 (创建 内 容 供 应 器 ) 

1) 将 导出 属性 显 式 设置 为 false 。 

2) 即使 数据 来 自 相 同 应 用 ， 也 应 该 小 心 并 安全 地 处 理 收 到 的 请 求 数据 。 

3) 可 以 发 送 敏感 信息 ， 因 为 它 在 同一 应 用 内 发 送 和 接收 所 有 信息 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package="o0rg.jssec.android.provider.privateprovider"> 


<application 
android:icon-"Qdrawable/ic launcher" 
android: label="@string/app_name" > 
<activity 
android: name=".PrivateUserActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
LE 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 


<!-- *** POINT 1 *** Explicitly set the exported attribu 
te to false. --> 

<provider 

android: name=".PrivateProvider" 

android: authorities="org.jssec.android.provider.privatep 
rovider" 

android:exported-"false" /> 

</application> 

</manifest> 
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PrivateProvider.java 


package org.jssec.android.provider.privateprovider; 


import android.content.ContentProvider; 
import android.content.ContentUris; 
import android.content.ContentValues; 
import android.content.UriMatcher; 
import android.database.Cursor; 

import android.database.MatrixCursor; 
import android.net.Uri; 


public class PrivateProvider extends ContentProvider ( 


public static final String AUTHORITY - "org.jssec.android.pr 
ovider.privateprovider"; 

public static final String CONTENT TYPE = "vnd.android.curso 
r.dir/vnd.org.jssec.contenttype"; 

public static final String CONTENT ITEM TYPE = "vnd.android. 
cursor.item/vnd.org.jssec.contenttype"; 

// Expose the interface that the Content Provider provides. 


public interface Download { 
public static final String PATH - "downloads"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


public interface Address { 
public static final String PATH = "addresses"; 
public static final Uri CONTENT_URI = Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


// UriMatcher 

private static final int DOWNLOADS CODE = 1; 
private static final int DOWNLOADS ID CODE - 2; 
private static final int ADDRESSES CODE - 3; 
private static final int ADDRESSES ID CODE - 4; 
private static UriMatcher sUriMatcher; 


static { 

sUriMatcher - new UriMatcher(UriMatcher.NO MATCH); 

sUriMatcher.addURI(AUTHORITY, Download.PATH, DOWNLOADS C 
ODE); 

sUriMatcher.addURI(AUTHORITY, Download.PATH + "/4Z", DOWN 
LOADS ID CODE); 

sUriMatcher.addURI(AUTHORITY, Address.PATH, ADDRESSES CO 
DE); 

sUriMatcher.addURI(AUTHORITY, Address.PATH + "/#", ADDRE 
SSES ID CODE); 


j 


// Since this is a sample program, 
// query method returns the following fixed result always wi 
thout using database. 


private static MatrixCursor sAddressCursor = new MatrixCurso 
renew String[ |] 4 "xd", "city" }); 


static { 
sAddressCursor.addRow(new String[] { "1", "New York" }); 
sAddressCursor.addRow(new String[] { "2", "Longon" }); 
sAddressCursor.addRow(new String[] { "3", "Paris" }); 


} 


private static MatrixCursor sDownloadCursor = new MatrixCurs 
or(new String[] { " 1d", "path" }); 


static { 
sDownloadCursor.addRow(new String[] { "1", "/sdcard/down 
loads/sample.jpg" 3); 
sDownloadCursor.addRow(new String[] ( "2", "/sdcard/down 
loads/sample.txt" 3); 


j 


QOverride 

public boolean onCreate() { 
return true; 

} 


@Override 
public String getType(Uri uri) 4 
// *** POINT 2 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the same application. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 3 *** Sensitive information can be sent sin 
ce it is sending and receiving all within the same application. 
// However, the result of getType rarely has the sensiti 
ve meaning. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
case ADDRESSES CODE: 
return CONTENT TYPE; 
case DOWNLOADS ID CODE: 
case ADDRESSES ID CODE: 
return CONTENT ITEM TYPE; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 


@Override 
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4.3.1 示例 代码 


public Cursor query(Uri uri, String[] projection, String sel 
ection, 
String[] selectionArgs, String sortOrder) { 
// *** POINT 2 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the same application. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 3 *** Sensitive information can be sent sin 
ce it is sending and receiving all within the same application. 
// It depends on application whether the query result ha 
S sensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
case DOWNLOADS ID CODE: 
return sDownloadCursor; 
case ADDRESSES CODE: 
case ADDRESSES ID CODE: 
return sAddressCursor; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 


@Override 
public Uri insert(Uri uri, ContentValues values) { 
// *** POINT 2 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the same application. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 


// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 3 *** Sensitive information can be sent sin 
ce it is sending and receiving all within the same application. 
// It depends on application whether the issued ID has s 
ensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return ContentUris.withAppendedId(Download.CONTE 
NT URI, 3); 
case ADDRESSES CODE: 
return ContentUris.withAppendedId(Address.CONTEN 
T_URI, 4); 
default: 
throw new IllegalArgumentException("Invalid URI:" 
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4.3.1 示例 代码 


+ uri); 


@Override 
public int update(Uri uri, ContentValues values, String sele 
CELON, 
String[] selectionArgs) { 
// *** POINT 2 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the same application. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 


// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 3 *** Sensitive information can be sent sin 
ce it is sending and receiving all within the same application. 
// It depends on application whether the number of updat 
ed records has sensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return 5; // Return number of updated records 
case DOWNLOADS ID CODE: 


return 1; 
case ADDRESSES CODE: 
returnis, 
case ADDRESSES_ID_CODE: 
returni I: 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
@Override 


public int delete(Uri uri, String selection, String[] select 

ionArgs) ( 

// *** POINT 2 *** Handle the received request data care 
fully and securely, 

// even though the data comes from the same application. 

// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 

// Checking for other parameters are omitted here, due t 
o sample. 

// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 

// *** POINT 3 *** Sensitive information can be sent sin 
ce it is sending and receiving all within the same application. 

// It depends on application whether the number of delet 
ed records has sensitive meaning or not. 

switch (sUriMatcher.match(uri)) { 
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case DOWNLOADS_CODE: 
return 10; // Return number of deleted records 
case DOWNLOADS_ID_CODE: 
return 1; 
case ADDRESSES_CODE: 
return 20; 
case ADDRESSES_ID_CODE: 


return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
} 


下 面 是 活动 的 示例 ， 它 使 用 私有 内 容 供应 器 。 

要 点 (使 用 内 容 供应 器 ) 

4) 敏感 信息 可 以 发 送 ， 因 为 目标 供应 器 在 相同 应 用 中 。 

5) 小 心 和 安全 地 处 理 收 到 的 结果 数据 ， 即 使 数据 来 自 相 同 应 用 。 


PrivateUserActivity.java 


package org.jssec.android.provider.privateprovider; 


import android.app.Activity; 
import android.database.Cursor; 
import android.net.Uri; 

import android.os.Bundle; 
import android.view.View; 
import android.widget.TextView; 


public class PrivateUserActivity extends Activity { 


public void onQueryClick(View view) ( 
logLine("[Query]"); 
Cursor cursor - null; 
Lr 
// *** POINT 4 *** Sensitive information can be sent 
since the destination provider is in the same application. 
cursor - getContentResolver().query( 
PrivateProvider.Download.CONTENT URI, null, null 
Ant nu 
// *** POINT 5 *** Handle received result data caref 
ully and securely, 
// even though the data comes from the same applicat 
ion. 
// Omitted, since this is a sample. Please refer to 


4.3.1 示例 代码 


"3.2 Handling Input Data Carefully and Securely." 


if (cursor == null) ( 
logLine(" null cursor"); 
+} else { 


boolean moved = cursor.moveToFirst(); 
while (moved) { 
logLine(String.format(" %d, %s", cursor.getI 
nt(0), cursor.getString(1))); 
moved = cursor.moveToNext(); 


} 
} 
} 
fanaliy s 
if (cursor != null) cursor.close(); 
} 


} 


public void onInsertClick(View view) { 
logLine("[Insert]"); 
// *** POINT 4 *** Sensitive information can be sent sin 
ce the destination provider is in the same application. 
Uri uri = getContentResolver().insert(PrivateProvider.Do 
wnload.CONTENT_URI, null); 
// *** POINT 5 *** Handle received result data carefully 
and securely, 
// even though the data comes from the same application. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
logLine(" uri:" + uri); 
} 


public void onUpdateClick(View view) { 
logLine("[Update]"); 
// *** POINT 4 *** Sensitive information can be sent sin 
ce the destination provider is in the same application. 
int count = getContentResolver().update(PrivateProvider. 
Download.CONTENT_URI, null, null, null); 
// *** POINT 5 *** Handle received result data carefully 
and securely, 
// even though the data comes from the same application. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records updated", count)); 
} 


public void onDeleteClick(View view) { 
logLine("[Delete]"); 
// *** POINT 4 *** Sensitive information can be sent sin 
ce the destination provider is in the same application. 
int count = getContentResolver().delete( 
PrivateProvider.Download.CONTENT_URI, null, null); 
// *** POINT 5 *** Handle received result data carefully 
and securely, 
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// even though the data comes from the same application. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records deleted", count)); 
} 


private TextView mLogView; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("¥n"); 


— 
` 


4.3.1.2 创建 /使 用 公共 内 容 供 应 器 


公共 内 容 供应 器 是 应 该 由 未 指定 的 大 量 应 用 使 用 的 内 容 供应 器 。 需要 注意 的 是 ， 由 
于 它 不 指定 客户 端 ， 它 可 能 会 受到 恶意 软件 的 攻击 和 医改 。 例如， 可 以 通 

过 select() 获取 保存 的 数据 ， 可 以 通过 update() 更 改 数据 ， 或 者 可 以 通 

过 insert() / delete() 插入 /删除 假 数 据 。 


另外 ， 在 使 用 Android OS 未 提供 的 自 定 义 公 共 内 容 供 应 器 时 ， 需 要 注意 的 是 ， 恶 
意 软 件 可 能 会 接收 到 请 求 参数 ， 伪 装 成 自 定义 公共 内 容 供 应 器 ， 并 且 也 可 能 发 送 攻 
击 数据 。Android OS 提供 的 联系 人 和 MediaStore 也 是 公共 内 容 提供 商 ， 但 恶意 软 
件 不 能 伪装 成 它们 。 


实现 公共 内 容 供应 器 的 样 例 代码 展示 在 下 面 : 
要 点 (创建 内 容 供应 器 ) 

1) 将 导出 的 属性 显 式 设置 为 true 。 

2) 仔细 安全 地 处 理 收 到 的 请 求 数据 。 

3) 返回 结果 时 ， 请 勿 包含 敏感 信息 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package="org.jssec.android.provider.publicprovider"> 


<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- *** POINT 1 *** Explicitly set the exported attribu 
te stom be > 

<provider 

android: name=".PublicProvider" 

android: authorities="org.jssec.android.provider .publicpr 
ovider" 

android: exported="true" /> 

</application> 

</manifest> 


PublicProvider.java 


package org.jssec.android.provider.publicprovider; 


import android.content.ContentProvider; 
import android.content.ContentUris; 


import android.content.ContentValues; 
import android.content.UriMatcher; 
import android.database.Cursor; 
import android.database.MatrixCursor; 
import android.net.Uri; 


public class PublicProvider extends ContentProvider { 


public static final String AUTHORITY = "org.jssec.android.pr 
ovider.publicprovider"; 

public static final String CONTENT_TYPE = "vnd.android.curso 
r.dir/vnd.org.jssec.contenttype"; 

public static final String CONTENT ITEM TYPE = "vnd.android. 
cursor.item/vnd.org.jssec.contenttype"; 

// Expose the interface that the Content Provider provides. 


public interface Download { 
public static final String PATH - "downloads"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


public interface Address { 
public static final String PATH = "addresses"; 
public static final Uri CONTENT_URI = Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


// UriMatcher 

private static final int DOWNLOADS CODE = 1; 
private static final int DOWNLOADS ID CODE = 2; 
private static final int ADDRESSES CODE - 3; 
private static final int ADDRESSES ID CODE - 4; 
private static UriMatcher sUriMatcher; 


static { 

sUriMatcher - new UriMatcher(UriMatcher.NO MATCH); 

sUriMatcher.addURI(AUTHORITY, Download.PATH, DOWNLOADS C 
ODE); 

sUriMatcher.addURI(AUTHORITY, Download.PATH + "/4Z", DOWN 
LOADS ID CODE); 

sUriMatcher.addURI(AUTHORITY, Address.PATH, ADDRESSES CO 
DE); 

sUriMatcher.addURI(AUTHORITY, Address.PATH + "/#", ADDRE 
SSES ID CODE); 


j 


// Since this is a sample program, 

// query method returns the following fixed result always wi 
thout using database. 

private static MatrixCursor sAddressCursor - new MatrixCurso 
r(new Strang[] ( " 1d". "city" }); 


4.3.1 示例 代码 


Static ff 
sAddressCursor.addRow(new String[] { "1", "New York" }); 
sAddressCursor.addRow(new String[] { "2", "London" }); 
sAddressCursor.addRow(new String[] { "3", "Paris" }); 


} 


private static MatrixCursor sDownloadCursor = new MatrixCurs 
or(new Struing[] { "_id", "path" }); 


static { 
sDownloadCursor.addRow(new String[] { "1", "/sdcard/down 
loads/sample.jpg" }); 
sDownloadCursor.addRow(new String[] { "2", "/sdcard/down 
loads/sample.txt" }); 


} 


@Override 
public boolean onCreate() { 
return true; 


} 


@Override 
public String getType(Uri uri) { 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS_CODE: 
case ADDRESSES_CODE: 
return CONTENT TYPE; 
case DOWNLOADS ID CODE: 
case ADDRESSES ID CODE: 
return CONTENT ITEM TYPE; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 


@Override 
public Cursor query(Uri uri, Stringi] projection, String sel 
ection, 
String[] selectionArgs, String sortOrder) ( 
// *** POINT 2 *** Handle the received request data care 
fully and securely. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Refer to "3.2 Handle Input Data Carefully and Securel 


Ve 
// *** POINT 3 *** When returning a result, do not inclu 
de sensitive information. 
// It depends on application whether the query result ha 
S sensitive meaning or not. 
// If no problem when the information is taken by malwar 
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4.3.1 示例 代码 


e, it can be returned as result. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS_CODE: 
case DOWNLOADS_ID_CODE: 
return sDownloadCursor; 
case ADDRESSES_CODE: 
case ADDRESSES_ID_CODE: 
return sAddressCursor; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
= aLe 


@Override 
public Uri insert(Uri uri, ContentValues values) { 
// *** POINT 2 *** Handle the received request data care 
fully and securely. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Refer to "3.2 Handle Input Data Carefully and Securel 


y. 
// *** POINT 3 *** When returning a result, do not inclu 
de sensitive information. 
// It depends on application whether the issued ID has s 
ensitive meaning or not. 
// If no problem when the information is taken by malwar 
e, it can be returned as result. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return ContentUris.withAppendedId(Download.CONTE 
NT URI, 3); 
case ADDRESSES CODE: 
return ContentUris.withAppendedId(Address.CONTEN 
TAURI, 4) 
default: 
throw new IllegalArgumentException("Invalid URI:" 
Sa) 


} 
} 


@Override 
public int update(Uri uri, ContentValues values, String sele 
CUTON. 
String[] selectionArgs) ( 
// *** POINT 2 *** Handle the received request data care 
fully and securely. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
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4.3.1 示例 代码 


// Refer to "3.2 Handle Input Data Carefully and Securel 


Vs 
// *** POINT 3 *** When returning a result, do not inclu 
de sensitive information. 
// It depends on application whether the number of updat 
ed records has sensitive meaning or not. 
// If no problem when the information is taken by malwar 
e, it can be returned as result. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return 5; // Return number of updated records 
case DOWNLOADS ID CODE: 


return 1; 
case ADDRESSES CODE: 
return 15; 
case ADDRESSES ID CODE: 
return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
@Override 


public int delete(Uri uri, String selection, String[] select 

ionArgs) ( 

// *** POINT 2 *** Handle the received request data care 
fully and securely. 

// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 

// Checking for other parameters are omitted here, due t 
o sample. 

// Refer to "3.2 Handle Input Data Carefully and Securel 


y. 
Z/ *** POINT 3 *** When returning a result, do not inclu 
de sensitive information. 
// It depends on application whether the number of delet 
ed records has sensitive meaning or not. 
// If no problem when the information is taken by malwar 
e, it can be returned as result. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return 10; // Return number of deleted records 
case DOWNLOADS ID CODE: 
return 1; 
case ADDRESSES CODE: 
return 20; 
case ADDRESSES ID CODE: 
return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ ur); 
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j 


4 oo 


下 面 是 使 用 公共 内 容 供 应 器 的 活动 示例 。 
要 点 《使 用 内 容 供应 器 ) 

4) 不 要 发 送 敏感 信息 

5) 收 到 结果 时 ， 人 小心 和 安全 地 处 理 结果 数据 


PublicUserActivity.java 


package org.jssec.android.provider.publicuser; 


import android.app.Activity; 

import android.content.ContentValues; 
import android.content.pm.ProviderInfo; 
import android.database.Cursor; 

import android.net.Uri; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class PublicUserActivity extends Activity { 


// Target Content Provider Information 
private static final String AUTHORITY - "org.jssec.android.p 
rovider.publicprovider"; 


private interface Address ( 
public static final String PATH - "addresses"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


i 


public void onQueryClick(View view) ( 
logLine("[Query]"); 
if (!providerExists(Address.CONTENT URI)) ( 
logLine(" Content Provider doesn't exist."); 
return; 


j 


Cursor cursor - null; 


Cry 4 
// *** POINT 4 *** Do not send sensitive information. 


// since the target Content Provider may be malware. 

// If no problem when the information is taken by ma 
lware, it can be included in the request. 

cursor = getContentResolver().query(Address.CONTENT . 
URI SUL Snc ne nur 


4.3.1 示例 代码 


// *** POINT 5 *** When receiving a result, handle t 
he result data carefully and securely. 

// Omitted, since this is a sample. Please refer to 
"S.2 Handling Input Data Carefully and Securely." 


if (cursor -- null) ( 
logLine(" null cursor"); 
} else { 


boolean moved = cursor.moveToFirst(); 
while (moved) { 
logLine(String.format(" %d, %s", cursor.getI 
nt(0), cursor.getString(1))); 
moved = cursor.moveToNext(); 


} 
} 
} 
finally { 
if (cursor != null) cursor.close(); 
} 


} 


public void onInsertClick(View view) { 
logLine("[Insert]"); 
if (!providerExists(Address.CONTENT_URI)) { 
logLine(" Content Provider doesn't exist."); 
return; 


// *** POINT 4 *** Do not send sensitive information. 

// since the target Content Provider may be malware. 

// If no problem when the information is taken by malwar 
e, it can be included in the request. 

ContentValues values = new ContentValues(); 

values.put("city", "Tokyo"); 

Uri uri = getContentResolver().insert(Address.CONTENT_UR 
I, values); 

// *** POINT 5 *** When receiving a result, handle the r 
esult data carefully and securely. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 
logLine(" uri:" + uri); 
} 


public void onUpdateClick(View view) { 
logLine("[Update]"); 
if (!providerExists(Address.CONTENT_URI)) { 
logLine(" Content Provider doesn't exist."); 
return; 
J 
// *** POINT 4 *** Do not send sensitive information. 
// since the target Content Provider may be malware. 
// If no problem when the information is taken by malwar 
e, it can be included in the request. 
ContentValues values - new ContentValues(); 
values.put("city", "Tokyo"); 
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String where = "_id = ?"; 

String[] args = ( "4" }; 

int count = getContentResolver().update(Address.CONTENT_ 
URI, values, where, args); 

// *** POINT 5 *** When receiving a result, handle the r 
esult data carefully and securely. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records updated", count)); 
} 


public void onDeleteClick(View view) { 
logLine("[Delete]"); 
if (!providerExists(Address.CONTENT_URI)) { 
logLine(" Content Provider doesn't exist."); 
return; 
} 
// *** POINT 4 *** Do not send sensitive information. 
// since the target Content Provider may be malware. 
// If no problem when the information is taken by malwar 
e, it can be included in the request. 
int count = getContentResolver().delete(Address.CONTENT_ 
URDU Mu 
// *** POINT 5 *** When receiving a result, handle the r 
esult data carefully and securely. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records deleted", count)); 
j 


private boolean providerExists(Uri uri) f 
ProviderInfo pi - getPackageManager().resolveContentProv 
ider(uri.getAuthority(), ©); 
return (pi != null); 
} 


private TextView mLogView; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("'xn"); 


4.3.1 示例 代码 
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4.3.1.3 创建 /使 用 伙伴 内 容 供应 器 


合作 伙伴 内 容 供应 器 只 能 由 特定 应 用 使 用 。 该 系统 由 伙伴 公司 的 应 用 和 内 部 应 用 组 
成 ， 用 于 保护 在 伙伴 应 用 和 内 部 应 用 之 间 处 理 的 信息 和 功能 。 


下 面 显示 了 用 于 实现 伙伴 内 容 供应 器 的 示例 代码 。 

要 点 (创建 内 容 供应 器 ) 

1) 将 导出 属性 显 式 设置 为 true 。 

2) 验证 请 求 应 用 的 证 书 是 否 已 在 自己 的 白 名 单 中 注册 。 

3) 即使 数据 来 自 伙 伴 应 用 ， 也 要 小 心 并 安全 地 处 理 收 到 的 请 求 数据 。 
4) 可 以 返回 开放 给 伙伴 应 用 的 信息 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.provider.partnerprovider'» 
«application 
android:icon-z"Qdrawable/ic launcher" 
android: label="@string/app_name" > 


<!-- *** POINT 1 *** Explicitly set the exported attribu 
IS iE) TIPU. soe 
<provider 


android: name=".PartnerProvider" 
android: authorities="org.jssec.android.provider.partnerp 
rovider" 
android:exported="true" /> 
</application> 
</manifest> 


PartnerProvider.java 


package org.jssec.android.provider.partnerprovider; 


import java.util.List; 

import org.jssec.android.shared.PkgCertWhitelists; 

import org.jssec.android.shared.Utils; 

import android.app.ActivityManager; 

import android.app.ActivityManager.RunningAppProcessInfo; 
import android.content.ContentProvider; 

import android.content.ContentUris; 

import android.content.ContentValues; 

import android.content.Context; 

import android.content.UriMatcher; 


import android.database.Cursor; 
import android.database.MatrixCursor; 
import android.net.Uri; 

import android.os.Binder; 

import android.os.Build; 


public class PartnerProvider extends ContentProvider { 


public static final String AUTHORITY = "org.jssec.android.pr 
ovider.partnerprovider"; 

public static final String CONTENT TYPE = "vnd.android.curso 
r.dir/vnd.org.jssec.contenttype"; 

public static final String CONTENT ITEM TYPE = "vnd.android. 
cursor.item/vnd.org.jssec.contenttype"; 

// Expose the interface that the Content Provider provides. 


public interface Download { 
public static final String PATH - "downloads"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


public interface Address { 

public static final String PATH = "addresses"; 

public static final Uri CONTENT_URI = Uri.parse("content://" 
+ AUTHORITY + "/" + PATH); 

} 

// UriMatcher 

private static final int DOWNLOADS_CODE = 1; 

private static final int DOWNLOADS_ID_CODE = 2; 

private static final int ADDRESSES_CODE = 3; 

private static final int ADDRESSES_ID_CODE = 4; 

private static UriMatcher sUriMatcher; 


static { 

sUriMatcher = new UriMatcher(UriMatcher.NO MATCH); 

sUriMatcher.addURI(AUTHORITY, Download.PATH, DOWNLOADS C 
ODE); 

sUriMatcher.addURI(AUTHORITY, Download.PATH + "/#", DOWN 
LOADS ID CODE); 

sUriMatcher.addURI(AUTHORITY, Address.PATH, ADDRESSES CO 
DE); 

sUriMatcher.addURI(AUTHORITY, Address.PATH + "/#", ADDRE 
SSES ID CODE); 


j 


// Since this is a sample program, 

// query method returns the following fixed result always wi 
thout using database. 

private static MatrixCursor sAddressCursor - new MatrixCurso 
r(new Stringi] { " id", "city" Y); 


static { 


sAddressCursor.addRow(new String[] { "1", "New York" }); 
sAddressCursor.addRow(new String[] { "2", "London" }); 
sAddressCursor.addRow(new String[] { "3", "Paris" }); 


} 


private static MatrixCursor sDownloadCursor = new MatrixCurs 
or(new String[] { "_id", "path" }); 


statici 
sDownloadCursor.addRow(new String[] { "1", "/sdcard/down 
loads/sample.jpg" }); 
sDownloadCursor.addRow(new String[] { "2", "/sdcard/down 
loads/sample.txt" }); 


} 


// *** POINT 2 *** Verify if the certificate of a requesting 
application has been registered in the 

own white list. 

private static PkgCertWhitelists sWhitelists = null; 


private static void buildWhitelists(Context context) { 
boolean isdebug - Utils.isDebuggable(context); 
swhitelists = new PkgCertWhitelists(); 
// Register certificate hash value of partner applicatio 
n org.jssec.android.provider.partneruser. 
swhitelists.add("org.jssec.android.provider.partneru 
ser", isdebug ? 
// Certificate hash value of "androiddebugkey" in th 
e debug.keystore. 
"OEFB7236 328348A9 89718BAD DF57F544 D5CCB4AE B9DB34 
BC 1bE29DD26 F77C8255" 
// Certificate hash value of "partner key" in the ke 
VSEOnes 
"1F039BB5 7861C27A 3916C778 8E78CE00 690B3974 3EB825 
9F E2627B8D ACOEC35A"); 
// Register following other partner applications in 
the same way. 


j 


private static boolean checkPartner(Context context, String 
pkgname) { 
if (swhitelists -- null) buildWhitelists(context); 
return sWhitelists.test(context, pkgname); 


j 


// Get the package name of the calling application. 
private String getCallingPackage(Context context) { 
String pkgname; 
if (Build.VERSION.SDK INT »- Build.VERSION CODES.KITKAT) 


{ 
pkgname = super.getCallingPackage(); 
) else { 
pkgname = null; 
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ActivityManager am = (ActivityManager) context.getSy 
stemService(Context.ACTIVITY SERVICE); 

List«RunningAppProcessInfo» procList - am.getRunning 
AppProcesses(); 

int callingPid - Binder.getCallingPid(); 

if (procList !- null) ( 

for (RunningAppProcessInfo proc : procList) ( 
if (proc.pid -- callingPid) ( 
pkgname = proc.pkgList[proc.pkgList.leng 


th - 1]; 
break; 
} 
} 
} 

} 

return pkgname; 
} 
@Override 


public boolean onCreate() { 
return true; 


} 


@Override 
public String getType(Uri uri) | 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
case ADDRESSES CODE: 
return CONTENT TYPE; 
case DOWNLOADS ID CODE: 
case ADDRESSES ID CODE: 
return CONTENT ITEM TYPE; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 


@Override 
public Cursor query(Uri uri, String[] projection, String sel 
ection, 
String[] selectionArgs, String sortOrder) { 
// *** POINT 2 *** Verify if the certificate of a reques 
ting application has been registered in the own white list. 
if (!checkPartner(getContext(), getCallingPackage(getCon 
text()))) { 
throw new SecurityException("Calling application is 
not a partner application."); 
} 
// *** POINT 3 *** Handle the received request data care 
fully and securely, 
// even though the data comes from a partner application. 


4.3.1 示例 代码 


// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 

// Checking for other parameters are omitted here, due t 
o sample. 

// Refer to "3.2 Handle Input Data Carefully and Securel 


vo! 
// *** POINT 4 *** Information that is granted to disclo 
se to partner applications can be returned. 
// It depends on application whether the query result ca 
n be disclosed or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
case DOWNLOADS ID CODE: 
return sDownloadCursor; 
case ADDRESSES CODE: 
case ADDRESSES ID CODE: 
return sAddressCursor; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 


@Override 
public Uri insert(Uri uri, ContentValues values) { 
// *** POINT 2 *** Verify if the certificate of a reques 
ting application has been registered in the own white list. 
if (!checkPartner(getContext(), getCallingPackage(getCon 
text()))) { 
throw new SecurityException("Calling application is 
not a partner application."); 
} 
// *** POINT 3 *** Handle the received request data care 
fully and securely, 
// even though the data comes from a partner application. 


// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 

// Checking for other parameters are omitted here, due t 
o sample. 

// Refer to "3.2 Handle Input Data Carefully and Securel 


Va 
// *** POINT 4 *** Information that is granted to disclo 
se to partner applications can be returned. 
// It depends on application whether the issued ID has s 
ensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS_CODE: 
return ContentUris.withAppendedId(Download.CONTE 
NT_URI, 3); 
case ADDRESSES_CODE: 
return ContentUris.withAppendedId(Address.CONTEN 
T_URI, 4); 
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4.3.1 示例 代码 


default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
@Override 


public int update(Uri uri, ContentValues values, String sele 

CEON, 

String[] selectionArgs) { 

// *** POINT 2 *** Verify if the certificate of a reques 
ting application has been registered in the own white list. 

if (!checkPartner(getContext(), getCallingPackage(getCon 
text()))) { 

throw new SecurityException("Calling application is 

not a partner application."); 

} 

// *** POINT 3 *** Handle the received request data care 
fully and securely, 

// even though the data comes from a partner application. 


// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 

// Checking for other parameters are omitted here, due t 
o sample. 

// Refer to "3.2 Handle Input Data Carefully and Securel 


y. 
[y T POINT 4 i Information, that.is granted to drselo 
se to partner applications can be returned. 
// It depends on application whether the number of updat 
ed records has sensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return 5; // Return number of updated records 
case DOWNLOADS ID CODE: 
return 1; 
case ADDRESSES CODE: 
return 15; 
case ADDRESSES ID CODE: 


return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
EID] 
} 
} 
@Override 


public int delete(Uri uri, String selection, String[] select 
ionArgs) ( 
// *** POINT 2 *** Verify if the certificate of a reques 
ting application has been registered in the own white list. 
if (!checkPartner(getContext(), getCallingPackage(getCon 
text()))) { 
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throw new SecurityException("Calling application is 
not a partner application."); 
} 
// *** POINT 3 *** Handle the received request data care 
fully and securely, 
// even though the data comes from a partner application. 


// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 

// Checking for other parameters are omitted here, due t 
o sample. 

// Refer to "3.2 Handle Input Data Carefully and Securel 


y $ n 
// *** POINT 4 *** Information that is granted to disclo 
se to partner applications can be returned. 
// It depends on application whether the number of delet 
ed records has sensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return 10; // Return number of deleted records 
case DOWNLOADS ID CODE: 
return 1; 
case ADDRESSES CODE: 
return 20; 
case ADDRESSES ID CODE: 


return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
} 


下 面 是 使 用 伙伴 内 容 供应 器 的 活动 示例 : 
要 点 (使 用 内 容 供应 器 ) 

5) 验证 目标 应 用 的 证 书 是 否 已 在 自己 的 白 名 单 中 注册 。 

6) 可 以 发 送 开放 给 伙伴 应 用 的 信息 。 

7) 即使 数据 来 自 伙 伴 应 用 ， 也 要 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 


PartnerActivity.java 


package org.jssec.android.provider.partneruser; 


import org.jssec.android.shared.PkgCertWhitelists; 
import org.jssec.android.shared.Utils; 

import android.app.Activity; 

import android.content.ContentValues; 


import android.content.Context; 

import android.content.pm.ProviderInfo; 
import android.database.Cursor; 

import android.net.Uri; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class PartnerUserActivity extends Activity { 


// Target Content Provider Information 
private static final String AUTHORITY - "org.jssec.android.p 
rovider.partnerprovider"; 


private interface Address ( 
public static final String PATH - "addresses"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


// *** POINT 4 *** Verify if the certificate of the target a 
pplication has been registered in the own white list. 
private static PkgCertWhitelists sWhitelists = null; 


private static void buildwhitelists(Context context) { 
boolean isdebug = Utils.isDebuggable(context); 
swhitelists = new PkgCertWhitelists(); 
// Register certificate hash value of partner applicatio 
n org.jssec.android.provider.partnerprovider. 
swhitelists.add("org.jssec.android.provider.partnerprovi 
der", isdebug ? 
// Certificate hash value of "androiddebugkey" in th 
e debug.keystore. 
"OEFB7236 328348A9 89718BAD DF57F544 D5CCB4AE B9DB34 
BC 1E29DD26 F77C8255" 
// Certificate hash value of "partner key" in the ke 
ystore. 
"D397D343 A5CBC10F 4EDDEB7C A10062DE 5690984F 1FB9E8 
8B D7B3A7C2 42b142CA"); 
// Register following other partner applications in 
the same way. 


j 


private static boolean checkPartner(Context context, String 
pkgname) { 
if (swhitelists -- null) buildWhitelists(context); 
return sWhitelists.test(context, pkgname); 


} 


// Get package name of target content provider. 
private String providerPkgname(Uri uri) { 
String pkgname = null; 
ProviderInfo pi = getPackageManager().resolveContentProv 
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4.3.1 示例 代码 


ider(uri.getAuthority(), ©); 
if (pi != null) pkgname = pi.packageName; 
return pkgname; 


} 


public void onQueryClick(View view) ( 
logLine("[Query]"); 
// *** POINT 4 *** Verify if the certificate of the targ 
et application has been registered in the own white list. 
if (!checkPartner(this, providerPkgname(Address.CONTENT . 
URI))) { 
logLine(" The target content provider is not served 
by partner applications."); 
return; 
} 


Cursor cursor = null; 
Eny i 
// *** POINT 5 *** Information that is granted to di 
sclose to partner applications can be sent. 
cursor = getContentResolver().query(Address.CONTENT . 
URL nt enue ir omis 
// *** POINT 6 *** Handle the received result data c 
arefully and securely, 
// even though the data comes from a partner applica 
rone 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 


if (cursor == null) { 
logLine(" null cursor"); 
} else { 


boolean moved = cursor.moveToFirst(); 
while (moved) { 
logLine(String.format(" %d, %s", cursor.getI 
nt(0), cursor.getString(1))); 
moved = cursor.moveToNext(); 


} 
} 
} 
finally { 
if (cursor != null) cursor.close(); 
J 


} 


public void onInsertClick(View view) { 
logLine("[Insert]"); 
// *** POINT 4 *** Verify if the certificate of the targ 
et application has been registered in the own white list. 
if (!checkPartner(this, providerPkgname(Address.CONTENT_ 
URI))) { 
logLine(" The target content provider is not served 
by partner applications."); 
return; 
} 
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4.3.1 示例 代码 


[LESS POINT 5 S^ Information thab 3s granted to disco 
se to partner applications can be sent. 

ContentValues values - new ContentValues(); 

values.put("city", "Tokyo"); 

Uri uri - getContentResolver().insert(Address.CONTENT UR 
I, values); 

// *** POINT 6 *** Handle the received result data caref 
ully and securely, 

// even though the data comes from a partner application. 


// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
logLine(™ uris" + wri); 


j 


public void onUpdateClick(View view) { 
logLine("[Update]"); 
// *** POINT 4 *** Verify if the certificate of the targ 
et application has been registered in the own white list. 
if (!checkPartner(this, providerPkgname(Address.CONTENT 
URI))) { 
logLine(" The target content provider is not served 
by partner applications."); 
return; 
} 


// *** POINT 5 *** Information that is granted to disclo 
se to partner applications can be sent. 

ContentValues values = new ContentValues(); 

values.put("city", "Tokyo"); 

String where = "_id = ?"; 

String[] args = { "4" }; 

int count = getContentResolver().update(Address.CONTENT_ 
URI, values, where, args); 

// *** POINT 6 *** Handle the received result data caref 
ully and securely, 

// even though the data comes from a partner application. 


// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records updated", count)); 


j 


public void onDeleteClick(View view) { 
logLine("[Delete]"); 
// *** POINT 4 *** Verify if the certificate of the targ 
et application has been registered in the own white list. 
if (!checkPartner(this, providerPkgname(Address.CONTENT . 
URI))) ( 
logLine(" The target content provider is not served 
by partner applications."); 
return; 
} 


// *** POINT 5 *** Information that is granted to disclo 
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se to partner applications can be sent. 

int count = getContentResolver().delete(Address.CONTENT_ 
URT ull null) 

// *** POINT 6 *** Handle the received result data caref 
ully and securely, 

// even though the data comes from a partner application. 


// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records deleted", count)); 
j 


private TextView mLogView; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("¥n"); 


} 
| ———————— a 5 


PkgCertWhitelists.java 


package org.jssec.android.shared; 


import java.util.HashMap; 
import java.util.Map; 
import android.content.Context; 


public class PkgCertWhitelists { 


private Map<String, String» mwhitelists = new HashMap<String 
, String>(); 


public boolean add(String pkgname, String sha256) { 

if (pkgname == null) return false; 

if (sha256 == null) return false; 

sha256 = sha256.replaceAll(" ", ""); 

if (sha256.length() != 64) return false; // SHA-256 -> 3 
2 bytes -> 64 chars 

sha256 = sha256.toUpperCase(); 

if (sha256.replaceAll("[0-9A-F]+", "").length() != 0) re 
turn false; // found non hex char 

mwhitelists.put(pkgname, sha256); 

return true; 


j 


public boolean test(Context ctx, String pkgname) { 
// Get the correct hash value which corresponds to pkgna 
me. 
String correctHash = mWhitelists.get(pkgname); 
// Compare the actual hash value of pkgname with the cor 
rect hash value. 
return PkgCert.test(ctx, pkgname, correctHash); 


j 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 
public static boolean test(Context ctx, String pkgname, Stri 


ng correctHash) ( 
if (correctHash -- null) return false; 


correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


j 


public static String hash(Context ctx, String pkgname) { 
if (pkgname -- null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
cry t 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


4.3.1.4 创建 /使 用 内 部 内 容 供应 器 

内 部 内 容 供 应 器 禁止 除 内 部 应 用 以 外 的 应 用 使 用 。 

下 面 展 示 了 如 何 实现 内 部 内 容 供应 器 的 示例 代码 。 

要 点 (创建 内 容 供应 器 ) 

1) 定义 内 部 签名 权限 。 

2) 需要 内 部 签名 权限 。 

3) 将 导出 属性 显 式 设置 为 true 。 

4) 验证 内 部 签名 权限 是 否 由 内 部 应 用 定义 。 

5) 验证 参数 的 安全 性 ， 即 使 这 是 来 自 内 部 应 用 的 请 求 。 
6) 由 于 请 求 应 用 是 内 部 的 ， 因 此 可 以 返回 敏感 信息 。 
7) 导出 APK 时 ， 请 使 用 与 请 求 应 用 相同 的 开发 者 密 钥 对 APK 进行 签名 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.provider.inhouseprovider'» 
<!-- *** POINT 1 *** Define an in-house signature permission 
325) 
<permission 
android: name="org.jssec.android.provider.inhouseprovider .MY_ 
PERMISSION" 
android: protectionLevel="Signature" /> 
<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 
<!-- *** POINT 2 *** Require the in-house signature perm 
ission --> 
<!-- *** POINT 3 *** Explicitly set the exported attribu 
te to true. --> 
<provider 
android: name=".InhouseProvider" 
android: authorities="org.jssec.android.provider .inhousep 
rovider" 
android: permission="org.jssec.android.provider .inhousepr 
ovider.MY PERMISSION" 
android:exported-"true" /» 
«/application» 
</manifest> 


InhouseProvider.java 


package org.jssec.android.provider .inhouseprovider ; 


import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.content.ContentProvider; 
import android.content.ContentUris; 
import android.content.ContentValues; 
import android.content.Context; 

import android.content.UriMatcher; 
import android.database.Cursor; 

import android.database.MatrixCursor; 
import android.net.Uri; 


public class InhouseProvider extends ContentProvider { 


public static final String AUTHORITY - "org.jssec.android.pr 
ovider.inhouseprovider"; 

public static final String CONTENT TYPE = "vnd.android.curso 
r.dir/vnd.org.jssec.contenttype"; 

public static final String CONTENT ITEM TYPE = "vnd.android. 
cursor.item/vnd.org.jssec.contenttype"; 

// Expose the interface that the Content Provider provides. 


public interface Download { 
public static final String PATH - "downloads"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


public interface Address { 
public static final String PATH = "addresses"; 
public static final Uri CONTENT_URI = Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


// UriMatcher 

private static final int DOWNLOADS_CODE = 1; 
private static final int DOWNLOADS_ID_CODE = 2; 
private static final int ADDRESSES_CODE = 3; 
private static final int ADDRESSES_ID_CODE = 4; 
private static UriMatcher sUriMatcher; 


static { 

sUriMatcher = new UriMatcher(UriMatcher.NO MATCH); 

sUriMatcher.addURI(AUTHORITY, Download.PATH, DOWNLOADS C 
ODE); 

sUriMatcher.addURI(AUTHORITY, Download.PATH + "/4Z", DOWN 
LOADS ID CODE); 

sUriMatcher.addURI(AUTHORITY, Address.PATH, ADDRESSES CO 
DE); 





sUriMatcher.addURI(AUTHORITY, Address.PATH + "/#", ADDRE 
SSES_ID_CODE); 
} 


// Since this is a sample program, 

// query method returns the following fixed result always wi 
thout using database. 

private static MatrixCursor sAddressCursor = new MatrixCurso 
r(new Stringi] { " id", "city" Y); 


static { 
sAddressCursor.addRow(new String[] ( "1", "New York" }); 
sAddressCursor.addRow(new String[] { "2", "London" }); 
sAddressCursor.addRow(new String[] { "3", "Paris" 3); 


j 


private static MatrixCursor sDownloadCursor - new MatrixCurs 
or(new String[] ( " id", "path" 3); 


static { 
sDownloadCursor.addRow(new String[] { "1", "/sdcard/down 
loads/sample.jpg" }); 
sDownloadCursor.addRow(new String[] { "2", "/sdcard/down 
loads/sample.txt" }); 


} 


// In-house Signature Permission 

private static final String MY_PERMISSION = "org.jssec.andro 
id.provider.inhouseprovider.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) 1 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" i 
n the debug.keystore. 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCB4AE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" in 
the keystore. 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 


} 


} 

return sMyCertHash; 
} 
@Override 


public boolean onCreate() { 
return true; 


} 


@Override 


public 


String getType(Uri uri) { 


switch (sUriMatcher.match(uri)) { 


+ uri); 


case DOWNLOADS_CODE: 
case ADDRESSES_CODE: 
return CONTENT_TYPE; 
case DOWNLOADS_ID_CODE: 
case ADDRESSES_ID_CODE: 
return CONTENT_ITEM_TYPE; 
default: 
throw new IllegalArgumentException("Invalid URI:" 


@Override 


public 
ection, 


Cursor query(Uri uri, String[] projection, String sel 


String[] selectionArgs, String sortOrder) { 


TE 


*** POINT 4 *** Verify if the in-house signature perm 


ission is defined by an in-house application. 


IF 


(!SigPerm.test(getContext(), MY_PERMISSION, myCertHas 


h(getContext()))) { 


permission 


} 
// 


throw new SecurityException("The in-house signature 
is not declared by in-house application."); 


*** POINT 5 *** Handle the received request data care 


fully and securely, 


747A 
n. 

YY 
erified by 

YA 
o sample. 

ZY 
Va 

Mi 

since the 


YY 


even though the data came from an in-house applicatio 


Here, whether uri is within expectations or not, is v 
UriMatcher#match() and switch case. 
Checking for other parameters are omitted here, due t 


Refer to "3.2 Handle Input Data Carefully and Securel 
*** POINT 6 *** Sensitive information can be returned 


requesting application is inhouse. 
It depends on application whether the query result ha 


S sensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 


+ uri); 


case DOWNLOADS_CODE: 
case DOWNLOADS_ID_CODE: 
return sDownloadCursor; 
case ADDRESSES_CODE: 
case ADDRESSES_ID_CODE: 
return sAddressCursor; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
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4.3.1 示例 代码 


@Override 
public Uri insert(Uri uri, ContentValues values) { 
// *** POINT 4 *** Verify if the in-house signature perm 
ission is defined by an in-house application. 
if (!SigPerm.test(getContext(), MY PERMISSION, myCertHas 
h(getContext()))) { 
throw new SecurityException("The in-house signature 
permission is not declared by in-house application."); 
} 
// *** POINT 5 *** Handle the received request data care 
fully and securely, 
// even though the data came from an in-house applicatio 
nt 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Refer to "3.2 Handle Input Data Carefully and Securel 


y. 
// *** POINT 6 *** Sensitive information can be returned 
since the requesting application is inhouse. 
// It depends on application whether the issued ID has s 
ensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return ContentUris.withAppendedId(Download.CONTE 
NT URI, 3); 
case ADDRESSES CODE: 
return ContentUris.withAppendedId(Address.CONTEN 
TSURT A); 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
@Override 
public int update(Uri uri, ContentValues values, String sele 
ction, 
String[] selectionArgs) { 
// *** POINT 4 *** Verify if the in-house signature perm 
ission is defined by an in-house application. 
if (!SigPerm.test(getContext(), MY PERMISSION, myCertHas 
h(getContext()))) { 
throw new SecurityException("The in-house signature 
permission is not declared by in-house application."); 
} 
// *** POINT 5 *** Handle the received request data care 
fully and securely, 
// even though the data came from an in-house applicatio 
n. 
// Here, whether uri is within expectations or not, is v 
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4.3.1 示例 代码 


erified by 
LP 
o sample. 
// 
ya" 
// 
Since the 
lee 


ed records 


UriMatcher#match() and switch case. 
Checking for other parameters are omitted here, due t 


Refer to "3.2 Handle Input Data Carefully and Securel 


*** POINT 6 *** Sensitive information can be returned 
requesting application is inhouse. 

It depends on application whether the number of updat 
has sensitive meaning or not. 


switch (sUriMatcher.match(uri)) { 


case DOWNLOADS_CODE: 
return 5; // Return number of updated records 
case DOWNLOADS_ID_CODE: 


return 1; 
case ADDRESSES_CODE: 
return 15; 
case ADDRESSES_ID_CODE: 
return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
= URAL) 
} 
} 
@Override 
public int delete(Uri uri, String selection, String[] select 
ionArgs) ( 
// *** POINT 4 *** Verify if the in-house signature perm 


ission is defined by an in-house application. 


TAIF 


(!SigPerm.test(getContext(), MY_PERMISSION, myCertHas 


h(getContext()))) { 


throw new SecurityException("The in-house signature 
is not declared by in-house application."); 


*** POINT 5 *** Handle the received request data care 


fully and securely, 


permission 
} 
Zi 
// 
ne 
// 
erified by 
// 
o sample. 
// 
Via" 
LE 
Since the 


Hie 
ed records 


even though the data came from an in-house applicatio 


Here, whether uri is within expectations or not, is v 
UriMatcher#match() and switch case. 
Checking for other parameters are omitted here, due t 


Refer to "3.2 Handle Input Data Carefully and Securel 


*** POINT 6 *** Sensitive information can be returned 
requesting application is inhouse. 

It depends on application whether the number of delet 
has sensitive meaning or not. 


switch (sUriMatcher.match(uri)) { 


case DOWNLOADS CODE: 

return 10; // Return number of deleted records 
case DOWNLOADS ID CODE: 

return 1; 
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case ADDRESSES_CODE: 
return 20; 
case ADDRESSES_ID_CODE: 


return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
} 


SigPerm.java 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try c 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager( ); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
Cry 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


要 点 7 : 导出 APK 时 ， 请 使 用 与 请 求 应 用 相同 的 开发 者 密 钥 对 APK 进行 签名 。 


4.3.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 





Key store password: 








Key alias: 





Key password: 
[_] Remember passwords 


| Previous | Cancel | | Help | 





下 面 是 使 用 内 部 内 容 供应 器 的 活动 示例 。 

要 点 (使 用 内 容 个 供应 器 ) 

8) 声明 使 用 内 部 签名 权限 。 

9) 验证 内 部 签名 权限 是 否 由 内 部 应 用 定义 。 

10) 验证 目标 应 用 是 否 使 用 内 部 证 书签 名 。 

11) 由 于 目标 应 用 是 内 部 应 用 ， 因 此 可 以 发 送 敏感 信息 。 

12) 即使 数据 来 自 内 部 应 用 ， 也 要 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 

13) 导出 APK 时 ， 请 使 用 与 目标 应 用 相同 的 开发 人 员 密 铀 对 APK 进行 签名 。 


AndroidManifest.xml 
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<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.provider.inhouseuser"» 
<!-- *** POINT 8 *** Declare to use the in-house signature p 
ermission. --> 
«uses-permission 
android:name-"org.jssec.android.provider.inhouseprovider.MY 
PERMISSION" /» 
«application 
android:icon-z"Qdrawable/ic launcher" 
android:label-"Qstring/app name" » 
«activity 
android:namez".InhouseUserActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


ed 


InhouseUserActivity.java 


package org.jssec.android.provider.inhouseuser; 


import org.jssec.android.shared.PkgCert; 
import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.ContentValues; 
import android.content.Context; 

import android.content.pm.PackageManager ; 
import android.content.pm.ProviderInfo; 
import android.database.Cursor; 

import android.net.Uri; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class InhouseUserActivity extends Activity { 
// Target Content Provider Information 


private static final String AUTHORITY - "org.jssec.android.p 
rovider.inhouseprovider"; 


4.3.1 示例 代码 


private interface Address { 
public static final String PATH = "addresses"; 
public static final Uri CONTENT_URI = Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


// In-house Signature Permission 

private static final String MY_PERMISSION = "org.jssec.andro 
id.provider.inhouseprovider.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" i 
n the debug.keystore. 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" in 
the keystore. 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
} 
} 
return sMyCertHash; 


} 


// Get package name of target content provider. 
private static String providerPkgname(Context context, Uri u 
get 
String pkgname - null; 
PackageManager pm = context.getPackageManager(); 
ProviderInfo pi - pm.resolveContentProvider(uri.getAutho 
rity(), 9); 
if (pi != null) pkgname = pi.packageName; 
return pkgname; 


} 


public void onQueryClick(View view) { 
logLine("[Query]"); 
// *** POINT 9 *** Verify if the in-house signature perm 
ission is defined by an in-house application. 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 
) i 
logLine(" The in-house signature permission is not d 
eclared by in-house application."); 
return; 
} 
// *** POINT 10 *** Verify if the destination applicatio 


n is signed with the in-house certificate. 
String pkgname - providerPkgname(this, Address.CONTENT U 
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4.3.1 示例 代码 


RI); 
if (!PkgCert.test(this, pkgname, myCertHash(this))) { 
logLine(" The target content provider is not served 
by in-house applications."); 
return; 
} 


Cursor cursor = null; 
eny 4 
// *** POINT 11 *** Sensitive information can be sen 
t since the destination application is in-house one. 
cursor = getContentResolver().query(Address.CONTENT . 
URT DU nuns table) 
// *** POINT 12 *** Handle the received result data 
carefully and securely, 
// even though the data comes from an in-house appli 
cation. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 


if (cursor -- null) ( 
logLine(" null cursor"); 
} else { 


boolean moved = cursor.moveToFirst(); 
while (moved) { 
logLine(String.format(" %d, %s", Cursor.getI 
nt(0), cursor.getString(1))); 
moved = cursor.moveToNext(); 
} 


} 
} finally { 

if (cursor != null) cursor.close(); 
} 


} 


public void onInsertClick(View view) { 
logLine("[Insert]"); 
// *** POINT 9 *** Verify if the in-house signature perm 
ission is defined by an in-house application. 
String correctHash = myCertHash(this); 
if (!SigPerm.test(this, MY_PERMISSION, correctHash)) { 
logLine(" The in-house signature permission is not d 
eclared by in-house application."); 
return; 
} 


// *** POINT 10 *** Verify if the destination applicatio 
n is signed with the in-house certificate. 
String pkgname - providerPkgname(this, Address.CONTENT U 
RI); 
if (!PkgCert.test(this, pkgname, correctHash)) ( 
logLine(" The target content provider is not served 
by in-house applications."); 
return; 


// *** POINT 11 *** Sensitive information can be sent si 
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4.3.1 示例 代码 


nce the destination application is in-house one. 

ContentValues values = new ContentValues(); 

values.put("city", "Tokyo"); 

Uri uri - getContentResolver().insert(Address.CONTENT UR 
I, values); 

// *** POINT 12 *** Handle the received result data care 
fully and securely, 

// even though the data comes from an in-house applicati 
on. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 
logLine(" uri:" + uri); 


} 


public void onUpdateClick(View view) { 
logLine("[Update]"); 
// *** POINT 9 *** Verify if the in-house signature perm 
ission is defined by an in-house application. 
String correctHash = myCertHash(this); 
if (!SigPerm.test(this, MY PERMISSION, correctHash)) { 
logLine(" The in-house signature permission is not d 
eclared by in-house application."); 
return; 
} 


// *** POINT 10 *** Verify if the destination applicatio 
n is signed with the in-house certificate. 
String pkgname = providerPkgname(this, Address.CONTENT_U 
RI); 
if (!PkgCert.test(this, pkgname, correctHash)) { 
logLine(" The target content provider is not served 
by in-house applications."); 
return; 


// *** POINT 11 *** Sensitive information can be sent si 
nce the destination application is in-house one. 

ContentValues values = new ContentValues(); 

values.put("city", "Tokyo"); 

String where = "_id = ?"; 

String[] args = { "4" }; 

int count = getContentResolver().update(Address.CONTENT_ 
URI, values, where, args); 

// *** POINT 12 *** Handle the received result data care 
fully and securely, 

// even though the data comes from an in-house applicati 
on. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records updated", count)); 


j 
public void onDeleteClick(View view) { 


logLine("[Delete]"); 
// *** POINT 9 *** Verify if the in-house signature perm 
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ission is defined by an in-house application. 
String correctHash = myCertHash(this); 
if (!SigPerm.test(this, MY PERMISSION, correctHash)) { 
logLine(" The target content provider is not served 
by in-house applications."); 
return; 
} 


// *** POINT 10 *** Verify if the destination applicatio 
n is signed with the in-house certificat 
e. 
String pkgname = providerPkgname(this, Address.CONTENT_U 
RI); 
if (!PkgCert.test(this, pkgname, correctHash)) { 
logLine(" The target content provider is not served 
by in-house applications."); 
return; 


// *** POINT 11 *** Sensitive information can be sent si 
nce the destination application is in-ho 
use one. 


int count = getContentResolver().delete(Address.CONTENT __ 


URT, null, null); 

// *** POINT 12 *** Handle the received result data care 
fully and securely, 

// even though the data comes from an in-house applicati 
on. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 
logLine(String.format(" %s records deleted", count)); 


j 


private TextView mLogView; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("xn"); 


SigPerm.java 


P 
N 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try c 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager( ); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
Packagelnfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
Cry 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


要 点 13: 导出 APK 时 ， 请 使 用 与 请 求 应 用 相同 的 开发 者 密 钥 对 APK 进行 签名 。 


4.3.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 


Key alias: 


Key password: 
[ ] Remember passwords 
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4.3.1.5 创建 /使 用 临时 内 容 供 应 器 
临时 内 容 供 应 器 基本 上 是 一 个 私有 内 容 供 应 器 ， 但 它 允 许 特定 的 应 用 访问 特定 的 
URI。 通 过 向 目标 应 用 发 送 一 个 指定 了 特殊 标志 的 意图 ， 即 可 为 这 些 应 用 提供 临时 


访问 权限 。 内 容 供 应 器 方 的 应 用 可 以 将 访问 权限 主动 授予 其 他 应 用 ， 并 且 还 可 以 将 
访问 权限 被 动 授予 索要 临时 访问 权限 的 应 用 。 


下 面 展 示 了 实现 临时 内 容 供 应 器 的 示例 代码 。 

要 点 (创建 内 容 供应 器 ) 

1) 将 导出 属性 显 式 设 置 为 false 。 

2) 使 用 grant-uri-permission 指定 路 径 来 临时 授予 访问 权 。 

3) 即使 数据 来 自 临时 访问 应 用 ， 也 应 该 消息 并 安全 地 处 理 收 到 的 请 求 数 据 。 

4) 可 以 返回 公开 给 临时 访问 应 用 的 信息 。 

5) 为 意图 指定 URI 来 授予 临时 访问 权 。 

6) 为 意图 指定 访问 权限 来 授予 临时 访问 权 。 
) * 
) 4 


7) 将 显 式 意图 发 送 给 应 用 来 授予 临时 访问 权 。 
8) 将 意图 返回 给 请 求 临 时 访问 权 的 应 用 。 


AndroidManifest.xml 


4.3.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package="org.jssec.android.provider.temporaryprovider"> 
<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 
<activity 
android: name=".TemporaryActiveGrantActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
l> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
<!-- Temporary Content Provider --> 
<!-- *** POINT 1 *** Explicitly set the exported attribu 
te to false. --> 
<provider 
android: name=".TemporaryProvider" 
android: authorities="org.jssec.android.provider.temp 
oraryprovider" 
android: exported="false" > 
<!-- *** POINT 2 *** Specify the path to grant acces 
s temporarily with the grant-uri-permissi 
on. --» 
«grant-uri-permission android:path="/addresses" /> 
</provider> 
<activity 
android: name=".TemporaryPassiveGrantActivity" 
android: label="@string/app_name" 
android:exported="true" /> 
</application> 
</manifest> 


E 1 


TemporaryProvider.java 


package org.jssec.android.provider.temporaryprovider; 


import android.content.ContentProvider; 
import android.content.ContentUris; 
import android.content.ContentValues; 
import android.content.UriMatcher; 
import android.database.Cursor; 

import android.database.MatrixCursor; 
import android.net.Uri; 
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public class TemporaryProvider extends ContentProvider { 


public static final String AUTHORITIY = "org.jssec.android.p 
rovider.temporaryprovider"; 

public static final String CONTENT TYPE = "vnd.android.curso 
r.dir/vnd.org.jssec.contenttype"; 

public static final String CONTENT ITEM TYPE = "vnd.android. 
cursor.item/vnd.org.jssec.contenttype"; 

// Expose the interface that the Content Provider provides. 


public interface Download { 
public static final String PATH = "downloads"; 
public static final Uri CONTENT_URI = Uri.parse("content 
://" + AUTHORITIY + "/" + PATH); 
j 


public interface Address ( 
public static final String PATH - "addresses"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITIY + "/" + PATH); 
} 


// UriMatcher 

private static final int DOWNLOADS CODE = 1; 
private static final int DOWNLOADS ID CODE - 2; 
private static final int ADDRESSES CODE - 3; 
private static final int ADDRESSES ID CODE - 4; 
private static UriMatcher sUriMatcher; 


static { 

sUriMatcher = new UriMatcher(UriMatcher.NO MATCH); 

sUriMatcher.addURI(AUTHORITIY, Download.PATH, DOWNLOADS . 
CODE); 

sUriMatcher.addURI(AUTHORITIY, Download.PATH + "/#", DOW 
NLOADS_ID_CODE); 

sUriMatcher.addURI(AUTHORITIY, Address.PATH, ADDRESSES C 
ODE); 

sUriMatcher.addURI(AUTHORITIY, Address.PATH + "/#", ADDR 
ESSES ID CODE); 


} 


// Since this is a sample program, 

// query method returns the following fixed result always wi 
thout using database. 

private static MatrixCursor sAddressCursor = new MatrixCurso 
Anew String| |] (do “eity* +); 


static { 
sAddressCursor.addRow(new String[] { "1", "New York" }); 
sAddressCursor.addRow(new String[] { "2", "London" }); 
sAddressCursor.addRow(new String[] { "3", "Paris" }); 


private static MatrixCursor sDownloadCursor = new MatrixCurs 
or(new String[] { "_id", "path" }); 


static { 
sDownloadCursor.addRow(new String[] { "1", "/sdcard/down 
loads/sample.jpg" }); 
sDownloadCursor.addRow(new String[] { "2", "/sdcard/down 
loads/sample.txt" }); 


} 


@Override 
public boolean onCreate() { 
return true; 


} 


@Override 
public String getType(Uri uri) { 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS_CODE: 
case ADDRESSES_CODE: 
return CONTENT TYPE; 
case DOWNLOADS ID CODE: 
case ADDRESSES ID CODE: 
return CONTENT ITEM TYPE; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
T our); 


QOverride 
public Cursor query(Uri uri, String[] projection, String sel 
ection, 
String[] selectionArgs, String sortOrder) { 
// *** POINT 3 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the application grant 
ed access temporarily. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 4 *** Information that is granted to disclo 
se to the temporary access applications can be returned. 
// It depends on application whether the query result ca 
n be disclosed or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
case DOWNLOADS ID CODE: 
return sDownloadCursor; 
case ADDRESSES CODE: 
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4.3.1 示例 代码 


case ADDRESSES_ID_CODE: 
return sAddressCursor; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 


@Override 
public Uri insert(Uri uri, ContentValues values) { 
// *** POINT 3 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the application grant 
ed access temporarily. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 4 *** Information that is granted to disclo 
se to the temporary access applications c 
an be returned. 
// It depends on application whether the issued ID has s 
ensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return ContentUris.withAppendedId(Download.CONTE 
NT_URI, 3); 
case ADDRESSES_CODE: 
return ContentUris.withAppendedId(Address.CONTEN 
T_URI, 4); 
default: 
throw new IllegalArgumentException("Invalid URI:" 
* (Ura); 


} 
} 


@Override 
public int update(Uri uri, ContentValues values, String sele 
Gtioni, 
String[] selectionArgs) { 
// *** POINT 3 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the application grant 
ed access temporarily. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 4 *** Information that is granted to disclo 
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4.3.1 示例 代码 


se to the temporary access applications can be returned. 
// It depends on application whether the number of updat 
ed records has sensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return 5; // Return number of updated records 
case DOWNLOADS ID CODE: 


return 1; 
case ADDRESSES CODE: 
return 15; 
case ADDRESSES ID CODE: 
return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
+ uri); 
} 
} 
@Override 
public int delete(Uri uri, String selection, String[] select 
ionArgs) ( 


// *** POINT 3 *** Handle the received request data care 
fully and securely, 
// even though the data comes from the application grant 
ed access temporarily. 
// Here, whether uri is within expectations or not, is v 
erified by UriMatcher#match() and switch case. 
// Checking for other parameters are omitted here, due t 
o sample. 
// Please refer to "3.2 Handle Input Data Carefully and 
Securely." 
// *** POINT 4 *** Information that is granted to disclo 
se to the temporary access applications can be returned. 
// It depends on application whether the number of delet 
ed records has sensitive meaning or not. 
switch (sUriMatcher.match(uri)) { 
case DOWNLOADS CODE: 
return 10; // Return number of deleted records 
case DOWNLOADS ID CODE: 
return 1; 
case ADDRESSES CODE: 
return 20; 
case ADDRESSES ID CODE: 
return 1; 
default: 
throw new IllegalArgumentException("Invalid URI:" 
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TemporaryActiveGrantActivity.java 


package org.jssec.android.provider.temporaryprovider; 


import android.app.Activity; 

import android.content.ActivityNotFoundException; 
import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.Toast; 


public class TemporaryActiveGrantActivity extends Activity { 


// User Activity Information 

private static final String TARGET PACKAGE - "org.jssec.andr 
oid.provider.temporaryuser"; 

private static final String TARGET ACTIVITY - "org.jssec.and 
roid.provider.temporaryuser.TemporaryUserActivity"; 


QOverride 

protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.active grant); 


j 


// In the case that Content Provider application grants acce 
SS permission to other application actively. 
public void onSendClick(View view) { 
Ery A 
Intent intent = new Intent(); 
// *** POINT 5 *** Specify URI for the intent to gra 
nt temporary access. 
intent.setData(TemporaryProvider.Address.CONTENT_URI 
); 
£/ 5** POINT 6G *** Specify access rights for the int 
ent to grant temporary access. 
intent.setFlags(Intent.FLAG GRANT READ URI PERMISSIO 
N); 
// *** POINT 7 *** Send the explicit intent to an ap 
plication to grant temporary access. 
intent.setClassName(TARGET PACKAGE, TARGET ACTIVITY) 


startActivity(intent); 
) catch (ActivityNotFoundException e) ( 
Toast.makeText(this, "User Activity not found.", Toa 
St.LENGTH LONG). show( ); 


} 
} 


TemporaryPassiveGrantActivity.java 


package org.jssec.android.provider.temporaryprovider; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view.View; 


public class TemporaryPassiveGrantActivity extends Activity ( 


QOverride 

protected void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.passive grant); 


j 


// In the case that Content Provider application passively g 
rants access permission 
// to the application that requested Content Provider access. 


public void onGrantClick(View view) ( 
Intent intent - new Intent(); 
/4-*5* POINT 5 ^* Specity URL for the a1ntent to grant t 
emporary access. 
intent.setData(TemporaryProvider.Address.CONTENT URI); 
// *** POINT 6 *** Specify access rights for the intent 
to grant temporary access. 
intent.setFlags(Intent.FLAG GRANT READ URI PERMISSION); 
// *** POINT 8 *** Return the intent to the application 
that requests temporary access. 
setResult(Activity.RESULT OK, intent); 





finish(); 

j 

public void onCloseClick(View view) ( 
finish(); 

j 


) 
Bla—————— —M Áo ( 
下 面 是 临时 内 容 供应 器 的 示例 。 

要 点 〈 使 用 内 容 供应 器 ) 
9) 不 要 发 送 敏感 信息 。 
10) 收 到 结果 时 ， 小 心 并 安全 地 处 理 结果 数据 。 


TemporaryUserActivity.java 


package org.jssec.android.provider.temporaryuser; 


4.3.1 示例 代码 


import android.app.Activity; 

import android.content.ActivityNotFoundException; 
import android.content.Intent; 

import android.content.pm.ProviderInfo; 

import android.database.Cursor; 

import android.net.Uri; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class TemporaryUserActivity extends Activity ( 


// Information of the Content Provider's Activity to request 
temporary content provider access. 

private static final String TARGET PACKAGE - "org.jssec.andr 
oid.provider.temporaryprovider"; 

private static final String TARGET ACTIVITY = "org.jssec.and 
roid.provider.temporaryprovider.TemporaryPassiveGrantActivity"; 

// Target Content Provider Information 

private static final String AUTHORITY - "org.jssec.android.p 
rovider.temporaryprovider"; 


private interface Address ( 
public static final String PATH - "addresses"; 
public static final Uri CONTENT URI - Uri.parse("content 
://" + AUTHORITY + "/" + PATH); 


} 


private static final int REQUEST_CODE = 1; 


public void onQueryClick(View view) { 
logLine("[Query]"); 
Cursor cursor = null; 
cry A 
if (!providerExists(Address.CONTENT_URI)) { 
logLine(" Content Provider doesn't exist."); 
return; 


// *** POINT 9 *** Do not send sensitive information. 


// If no problem when the information is taken by ma 
lware, it can be included in the request. 

cursor = getContentResolver().query(Address.CONTENT_ 
URI null nui nu, nw) 

// *** POINT 10 *** When receiving a result, handle 
the result data carefully and securely. 

// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 


if (cursor == null) ( 
logLine(" null cursor"); 
} else { 


boolean moved = cursor.moveToFirst(); 
while (moved) { 
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logLine(String.format(" %d, %s", cursor.getI 
nt(0), cursor.getString(1))); 
moved = cursor.moveToNext(); 
} 
} 


} catch (SecurityException ex) { 
logLine(" Exception:" + ex.getMessage()); 


J 
finally { 

if (cursor !- null) cursor.close(); 
} 


} 


// In the case that this application requests temporary acce 
ss to the Content Provider 
// and the Content Provider passively grants temporary acces 
S permission to this application. 
public void onGrantRequestClick(View view) ( 
Intent intent - new Intent(); 
intent.setClassName(TARGET PACKAGE, TARGET ACTIVITY); 
try 
startActivityForResult(intent, REQUEST CODE); 
) catch (ActivityNotFoundException e) ( 
logLine("Content Provider's Activity not found."); 
} 


} 


private boolean providerExists(Uri uri) { 
ProviderInfo pi = getPackageManager().resolveContentProv 
ider(uri.getAuthority(), ©); 
return (pi != null); 
} 


private TextView mLogView; 


// In the case that the Content Provider application grants 
temporary access 

// to this application actively. 

@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView)findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("xn"); 


B|c—————————————————————————— m—99 [ 


4.3.1 示例 代码 
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4.3.2 规则 书 


实现 或 使 用 内 容 供应 器 时 ， 确 保 遵循 以 下 规则 。 


4.3.2.1 仅仅 在 应 用 中 使 用 的 内 容 供应 器 必须 设 为 私有 (LE) 


仅 供 单个 应 用 使 用 的 内 容 供应 器 不 需要 被 其 他 应 用 访问 ， 并 且 开 发 人 员 通 常 不 会 考 
虑 攻击 内 容 供应 器 的 访问 。 内容 供应 器 基本 上 是 共享 数据 的 系统 ， 因 此 它 上 默认 处 理 
成 公共 的 。 仅 在 单个 应 用 中 使 用 的 内 容 供应 器 应 该 被 显 式 设置 为 私有 ， 并 且 它 应 该 
是 私有 内 容 供 应 器 。 在 Android 2.3.1 (API Level 9) 或 更 高 版 本 中 ， 通 过 

在 provider 元 素 中 指定 android:exported="false" ， 可 以 将 内 容 供 应 器 设置 
为 私有 。 


AndroidManifest.xml 


OLIN 2 Sepxralsestorsshecexporbtedsattr bDlCesexpl To 
Lely. =o% 
<provider 


android: name=".PrivateProvider" 
android: authorities="org.jssec.android.provider.privateprovider" 
android:exported="false" /> 


4.3.2.2 小 心 并 安全 地 处 理 收 到 的 请 求 参 数 (必需 ) 


风险 因 内 容 供 应 器 的 类 型 而 异 ， 但 在 处 理 请 求 参数 时 ， 你 应 该 做 的 第 一 件 事 是 输入 
验证 。 


虽然 内 容 供 应 器 的 每 个 方法 ， 都 有 一 个 接口 ， 应 该 接收 SQL 语句 的 成 分 参数 ， 但 
实际 上 它 只 是 交 给 系统 中 的 任意 字符 串 ， 所 以 需要 注意 内 容 供 应 器 方 需要 假设 ， 可 
能 会 提供 意外 的 参数 的 情况 。 


由 于 公共 内 容 提 供应 器 可 以 接收 来 自 不 受信 任 来 源 的 请 求 ， 因 此 可 能 会 受到 恶意 软 
件 的 攻击 。 另 一 方面 ， 私 有 内 容 供应 器 永远 不 会 直接 收 到 来 自 其 他 应 用 的 任何 请 
求 ， 但 是 目标 应 用 中 的 公共 活动 ， 可 能 会 将 恶意 意图 转发 给 私有 内 容 供应 器 ， 因 此 
你 不 应 该 认为 ， 私 有 内 容 供应 器 不 能 接收 任何 恶意 输入 。 由 于 其 他 内 容 供应 器 也 
有 将 恶意 意图 转发 给 他 们 的 风险 ， 因 此 有 必要 对 这 些 请 求 执行 输入 验证 。 


请 参阅 “3.2 小 心 和 安全 地 处 理 输 入 数据 ”。 


4.3.2.3 验证 签名 权限 由 内 部 定义 之 后 ， 使 用 内 部 定义 的 签名 权限 
(必需 
确保 在 创建 内 容 供应 器 时 ， 通 过 定义 内 部 签名 权限 ， 来 保护 你 的 内 部 内 容 供应 器 。 


由 于 在 AndroidManifest.xml 文件 中 定义 权限 或 声明 权限 请 求 ， 没 有 提供 足够 的 
安全 性 ， 请 务必 参考 "5.2.1.2 如 何 使 用 内 部 定义 的 签名 权限 在 内 部 应 用 之 间 进 行 通 


4.3.2.4 返回 结果 时 ， 请 注意 来 自 目标 应 用 的 结果 的 信息 泄露 的 可 
能 性 ( 必须 ) 


在 query() 或 插入 insert() 的 情况 下 ， Cursor 或 Uri 作为 结果 信息 返回 到 
发 送 请 求 的 应 用 。 当 敏感 信息 包含 在 结果 信息 中 时 ， 信 息 可 能 会 从 目标 应 用 泄露 。 
在 update() 或 delete() 的 情况 下 ， 更 新 /删除 记录 的 数量 作为 结果 信息 返回 给 
发 送 请 求 的 应 用 。 在 极 少 数 情况 下 ， 取 决 于 某 些 应 用 的 规范 ， 更 新 /删除 记录 的 数 
量具 有 敏感 含义 ， 请 注意 这 一 点 。 


4.3.2.5 提供 二 手 素 材 时 ， 素 材 应 该 以 相同 级 别 的 保护 提供 ( 必 


需 ) 


当 受 到 权限 保护 的 信息 或 功能 素材 ， 被 另 一 个 应 用 提供 时 ， 你 需要 确保 它 具 有 访问 
素材 所 需 的 相同 权限 。 在 Android OS 权限 安全 模型 中 ， 只 有 已 被 授予 适当 权限 的 
应 用 ， 才 能 直接 访问 受 保护 的 素材 。 但 是 ， 存 在 一 个 漏洞 ， 因 为 具有 素材 权限 的 应 
用 可 以 充当 代理 ， 并 允许 非特 权 应 用 的 访问 。 基 本 上 这 与 重 授权 限 相 同 ， 因 此 它 被 
称 为 “重新 授权 ”问题 。 请 参阅 “5.2.3.4 重新 授权 问题 ”。 


4.3.2.6 小 心 并 安全 地 处 理 来 自 内 容 供 应 器 的 返回 的 结果 数据 ( 必 
需 ) 

风险 因 内 容 供 应 器 的 类 型 而 异 ， 但 在 处 理 请 求 参 数 时 ， 你 应 该 做 的 第 一 件 事 是 输入 
验证 。 

如 果 目 标 内 容 供 应 器 是 公共 内 容 供 应 器 ， 伪 装 成 公共 内 容 供 应 器 的 恶意 软件 可 能 会 
返回 攻击 性 结果 数据 。 另 一 方面 ， 如 果 目 标 内 容 供应 器 是 私有 内 容 供 应 器 ， 则 其 风 
险 较 小 ， 因 为 它 从 同一 应 用 接收 结果 数据 ， 但 不 应 该 认为 ， 私 有 内 容 供 应 器 不 能 接 
收 任何 恶意 输入 。 由 于 其 他 内 容 供 应 器 也 有 将 恶意 数据 返回 给 他 们 的 风险 ， 因 此 有 
必要 对 该 结果 数据 执行 输入 验证 。 


请 参阅 “3.2 小 心 和 安全 地 处 理 输入 数据 ”。 


4.4 创建 /使 用 服务 


4.4.1 示例 代码 


使 用 服务 的 风险 和 对 策 取决 于 服务 的 使 用 方式 。 HI nr e 
应 该 创建 的 服务 类 型 。 由 于 安全 编码 的 最 佳 实践 ， 根 据 服 务 的 创建 方式 而 有 所 不 
同 ， 因 此 我 们 也 将 解释 服务 的 实现 。 


表 4.4-1 服务 类 型 的 定义 


xa 定义 

私有 不 能 由 其 他 应 用 加 载 ， 所 以 是 最 安全 的 服务 
公共 ”应 该 由 很 多 未 指定 的 应 用 使 用 的 服务 

伙伴 。 ”只 能 由 可 信 的 伙伴 公司 开发 的 应 用 使 用 的 服务 
内 部 。 ”只 能 由 其 他 内 部 应 用 使 用 的 服务 





Private Service In-house Service 


有 几 种 服务 实现 方法 ， 您 将 选择 匹配 您 想 要 创建 的 服务 类 型 的 方法 。 表 中 列 的 条 目 
展示 了 实现 方法 ， 并 将 它们 分 为 5 种 类 型 。 "OK" 表 示 可 能 的 组 合 ， 其 他 表示 不 可 
能 /困难 的 组 合 。 


服务 的 详细 实现 方法 ， 请 参阅 “4.4.3.2 如 何 实现 服务 "和 每 个 服务 类 型 的 示例 代码 
(ERP HA * 标记 ) 。 


表 4.4-2 


wae 


Figure 4.4-1 


类 别 
startService 类 型 
IntentService 类 型 
本 地 绑 定 类 型 
Messenger 绑 定 类 型 


AIDL 绑 定 类 型 


私有 服务 
OK* 
OK 
OK 
OK 
OK 


公共 服务 
OK 
OK* 


伙伴 服务 


OK* 


OK 


每 种 服务 安全 类 型 的 示例 代码 展示 在 下 面 ， 通 过 表 44-2 中 的 使 用 * 标记 。 


4.4.1.1 创建 /使 用 私有 服务 


私有 服务 是 不 能 由 其 他 应 用 启动 的 服务 ， 因 此 它 是 最 安全 的 服务 。 当 使 用 仅 在 应 用 
中 使 用 的 私有 服务 时 ， 只 要 您 对 该 类 使 用 显 式 意图 ， 那 么 您 就 不 必 担 心意 外 将 它 发 
送 到 任何 其 他 应 用 。 

下 面 展示 了 如 何 使 用 startservice 类 型 服务 的 示例 代码 。 

要 点 (创建 服务 ) 

1) 将 导出 属性 显 式 设 置 为 false 。 

2) 小 心 并 安全 地 处 理 收 到 的 意图 ， 即 使 意图 从 相同 应 用 发 送 。 

3) 由 于 请 求 应 用 在 同一 应 用 中 ， 所 以 可 以 发 送 敏感 信息 。 


AndroidManifest.xml 


4.4.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.service.privateservice" > 
<application 
android:icon-"Qdrawable/ic launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name=".PrivateUserActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
<action android:name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
<!-- Private Service derived from Service class --> 
<|-- *** POINT 1 *** Explicitly set the exported attribu 
te to false. --> 
<service android:name=".PrivateStartService" android:exp 
orted="false"/> 
<!-- Private Service derived from IntentService class --> 


«I-- *** POINT 1 *** Explicitly set the exported attribu 
te to false. --» 
«service android:name=".PrivateIntentService" android:ex 
ported="false"/> 
</application> 
</manifest> 


LR (Rei SESS UM 


PrivateStartService.java 
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4.4.1 示例 代码 


package org.jssec.android.service.privateservice; 


import android.app.Service; 
import android.content.Intent; 
import android.os.IBinder; 
import android.widget.Toast; 


public class PrivateStartService extends Service { 


// The onCreate gets called only one time when the service s 
tarts. 
@Override 
public void onCreate() { 
Toast.makeText(this, "PrivateStartService - onCreate()", 
Toast. LENGTH_SHORT) .show( ); 


} 


// The onStartCommand gets called each time after the starts 
ervice gets called. 
@Override 
public int onStartCommand(Intent intent, int flags, int star 
Cid yer 
// *** POINT 2 *** Handle the received intent carefully 
and securely, 
// even though the intent was sent from the same applica 
tion. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
String param = intent.getStringExtra("PARAM"); 
Toast.makeText(this, 
String. format("PrivateStartService¥nReceived param: ¥"%s¥ 
" je param) : 
Toast.LENGTH LONG).show(); 
return Service.START NOT STICKY; 


j 


// The onDestroy gets called only one time when the service 
stops. 
QOverride 
public void onDestroy() ( 
Toast.makeText(this, "PrivateStartService - onDestroy()" 
, Toast.LENGTH SHORT). show(); 


j 


QOverride 

public IBinder onBind(Intent intent) { 
// This service does not provide binding, so return null 
return null; 


j 
E O e: n 
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下 面 是 使 用 私有 服务 的 活动 代码 : 

要 点 (使 用 服务 ) 

4) 使 用 指定 类 的 显 式 意图 ， 调 用 同一 应 用 程序 的 服务 。 

5) 由 于 目标 服务 位 于 同一 应 用 中 ， 因 此 可 以 发 送 敏 感 信息 。 

6) 即使 数据 来 自 同一 应 用 中 的 服务 ， 也 要 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 


PrivateUserActivity.java 


package org.jssec.android.service.privateservice; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view.View; 


public class PrivateUserActivity extends Activity { 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.privateservice activity); 


// --- StartService control --- 
public void onStartServiceClick(View v) { 
// *** POINT 4 *** Use the explicit intent with class sp 
ecified to call a service in the same application. 
Intent intent - new Intent(this, PrivateStartService.cla 
ss); 
// *** POINT 5 *** Sensitive information can be sent sin 
ce the destination service is in the same application. 
intent.putExtra("PARAM", "Sensitive information"); 
startService(intent); 


} 


public void onStopServiceClick(View v) { 
doStopService(); 
} 


@Override 

public void onStop() { 
super .onStop(); 
// Stop service if the service is running. 
doStopService(); 


j 


private void doStopService() { 
// *** POINT 4 *** Use the explicit intent with class sp 
ecified to call a service in the same application. 


4.4.1 示例 代码 


Intent intent = new Intent(this, PrivateStartService.cla 
SS); 


} 


// --- IntentService control --- 
public void onIntentServiceClick(View v) ( 
// *** POINT 4 *** Use the explicit intent with class sp 
ecified to call a service in the same application. 
Intent intent - new Intent(this, PrivateIntentService.cl 


stopService(intent); 


ass); 
// *** POINT 5 *** Sensitive information can be sent sin 
ce the destination service is in the same application. 
intent.putExtra("PARAM", "Sensitive information"); 
startService(intent); 
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4.4.1.2 创建 /使 用 公共 服务 


公共 服务 是 应 该 由 未 指定 的 大 量 应 用 使 用 的 服务 。 有 必要 注意 ， 它 可 能 会 收 到 恶意 
软件 发 送 的 信息 (意图 等 ) o 在 使 用 公共 服务 的 情况 下 9 有 必要 注意 ; 恶意 软件 可 
能 会 收 到 要 发 送 的 信息 (意图 等 ) 。 


下 面 展示 了 如 何 使 用 startService 类 型 服务 的 示例 代码 。 
要 点 (创建 服务 ) 

1) 将 导出 属性 显 式 设置 为 true 。 

2) 小 心 并 安全 地 处 理 接收 到 的 意图 。 

3) 返回 结果 时 ， 请 勿 包含 敏感 信息 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package="org.jssec.android.service.publicservice" > 
<application 
android:icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<!-- Most standard Service --> 
<!-- *** POINT 1 *** Explicitly set the exported attribu 
te to true. --> 
<service android:name=".PublicStartService" android:expo 
rted="true"> 
<intent-filter> 
«action android:name="org.jssec.android.service. 
publicservice.action.startservice" /> 
</intent-filter> 
</service> 
<!-- Public Service derived from IntentService class --> 
<!-- *** POINT 1 *** Explicitly set the exported attribu 
te to true. --> 
<service android:name=".PublicIntentService" android:exp 
orted="true"> 
<intent-filter> 
«action android: name="org.jssec.android.service. 
publicservice.action.intentservice" /> 
</intent-filter> 
</service> 
</application> 
</manifest> 


NO 


4.4.1 示例 代码 


PublicIntentService.java 


package org.jssec.android.service.publicservice; 


import android.app.IntentService; 
import android.content.Intent; 
import android.widget.Toast; 


public class PublicIntentService extends IntentService{ 


JPRS 
* Default constructor must be provided when a service extend 
s IntentService class. 
* If it does not exist, an error occurs. 
a 
public PublicIntentService() { 
super ("CreatingTypeBService" ); 


} 


// The onCreate gets called only one time when the Service s 
tarts. 
@Override 
public void onCreate() { 
super.onCreate(); 
Toast.makeText(this, this.getClass().getSimpleName() + " 
- onCreate()", Toast.LENGTH_SHORT).show(); 


} 


// The onHandleIntent gets called each time after the starts 
ervice gets called. 
@Override 
protected void onHandleIntent(Intent intent) { 
// *** POINT 2 *** Handle intent carefully and securely. 
// Since it's public service, the intent may come from m 
alicious application. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
String param = intent.getStringExtra("PARAM"); 
Toast.makeText(this, String.format("Recieved parameter ¥" 
%s¥"", param), Toast.LENGTH LONG).show(); 


j 


// The onDestroy gets called only one time when the service 
stops. 
QOverride 
public void onDestroy() ( 
Toast.makeText(this, this.getClass().getSimpleName() + " 
- onDestroy()", Toast.LENGTH SHORT).show( ); 


} 
IEE U |) 
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下 面 是 使 用 公共 服务 的 活动 代码 : 
要 点 〈 使 用 服务 ) 

4) 不 要 发 送 敏感 信息 。 

5) 收 到 结果 时 ， 小 心 并 安全 地 处 理 结果 数据 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.service.publicserviceuser" > 
<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name=".PublicUserActivity" 
android: label="@string/app_name" 
android: exported="true"> 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
Ls 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


Sr 


PublicUserActivity.java 


package org.jssec.android.service.publicserviceuser; 


import android.app.Activity; 
import android.content.Intent; 
import android.os.Bundle; 
import android.view.View; 


public class PublicUserActivity extends Activity { 


// Using Service Info 

private static final String TARGET PACKAGE - "org.jssec.andr 
oid.service.publicservice"; 

private static final String TARGET_START_CLASS = "org.jssec. 
android.service.publicservice.PublicStartService"; 

private static final String TARGET INTENT CLASS = "org.jssec 


4.4.1 示例 代码 


.android.service.publicservice.PublicIntentService"; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState) ; 
setContentView(R.layout.publicservice activity); 


} 


// --- StartService control --- 
public void onStartServiceClick(View v) { 
Intent intent = new Intent("org.jssec.android.service.pu 
blicservice.action.startservice"); 
// *** POINT 4 *** Call Service by Explicit intent 
intent.setClassName(TARGET PACKAGE, TARGET START CLASS); 
// *** POINT 5 *** po not send sensitive information. 
intent.putExtra("PARAM", "Not sensitive information"); 
startService(intent); 
// *** POINT 6 *** When receiving a result, handle the r 
esult data carefully and securely. 
// This sample code uses startService(), so receiving no 
result. 


j 


public void onStopServiceClick(View v) ( 
doStopService(); 
} 


// --- IntentService control --- 
public void onIntentServiceClick(View v) ( 
Intent intent - new Intent("org.jssec.android.service.pu 
blicservice.action.intentservice"); 
// *** POINT 4 *** Call service by Explicit Intent 
intent.setClassName(TARGET PACKAGE, TARGET INTENT CLASS) 


// *** POINT 5 *** po not send sensitive information. 
intent.putExtra("PARAM", "Not sensitive information"); 
startService(intent); 


j 


QOverride 

public void onStop()f{ 
super .onStop(); 
// Stop service if the service is running. 
doStopService(); 


j 


// Stop service 
private void doStopService() ( 
Intent intent - new Intent("org.jssec.android.service.pu 
blicservice.action.startservice"); 
// *** POINT 4 *** Call service by Explicit Intent 
intent.setClassName(TARGET PACKAGE, TARGET START CLASS); 
stopService(intent); 
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4.4.1 示例 代码 
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4.4.1.3 创建 /使 用 伙伴 服务 


伙伴 服务 是 只 能 由 特定 应 用 使 用 的 服务 。 系统 由 伙伴 公司 的 应 用 和 内 部 应 用 组 成 ， 
用 于 保护 在 伙伴 应 用 和 内 部 应 用 之 间 处 理 的 信息 和 功能 。 


以 下 是 AIDL 绑 定 类 型 服务 的 示例 。 

要 点 (创建 服务 ) 

1) 不 要 定义 意图 过 滤器 ， 并 将 导出 属性 显 式 设置 为 true 。 
2) 验证 请 求 应 用 的 证 书 是 否 已 在 自己 的 白 名 单 中 注册 。 


3)35 7] (无 法 ) 通过 onBind(onstartCommand, onHandleIntent) 识别 请 求 应 
用 是 否 为 伙伴 。 


4) 小 心 并 安全 地 处 理 接收 到 的 意图 ， 即 使 意图 是 从 伙伴 应 用 发 送 的 。 
5) 仅 返 回 公开 给 伙伴 应 用 的 信息 。 


另外 ， 请 参阅 "5.2.1.3 如 何 验证 应 用 证 书 的 哈 希 值 *， 来 了 解 如 何 验证 目标 应 用 的 哈 
希 值 ， 它 在 白 名 单 中 指定 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.service.partnerservice.aidl" > 
<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<!-- Service using AIDL --> 
<!-- *** POINT 1 *** Do not define the intent filter and 
explicitly set the exported attribute to 
true. --> 
<service 
android: name="org.jssec.android.service.partnerservice.a 
idl.PartnerAIDLService" 
android:exported-"true" /» 
«/application» 
«/manifest» 


在 这 个 例子 中 ， 将 创建 2 个 AIDL LH 9. 一 个 是 回调 接口 ， 将 数据 从 服务 提供 给 活 
动 。 另 一 个 接口 将 数据 从 活动 提供 给 服务 ， 并 获取 信息 。 另外 ，AIDL 文件 中 描述 
的 包 名 称 ， 应 与 AIDL 文件 的 目录 层次 一 致 ， 与 java 文件 中 描述 的 包 名 称 相同 。 


IExclusiveAIDLServiceCallback.aidl 


package org.jssec.android.service.exclusiveservice.aidl; 
interface IExclusiveAIDLServiceCallback { 

Jess 

* It's called when the value is changed. 


P 
void valueChanged(String info); 


IExclusiveAIDLService.aidl 


package org.jssec.android.service.exclusiveservice.aidl; 


import org.jssec.android.service.exclusiveservice.aidl.IExclusiv 
eAIDLServiceCallback; 


interface IExclusiveAIDLService { 


pst 

* Register Callback. 

T 

void registerCallback(IExclusiveAIDLServiceCallback cb); 
JES 

* Get Information 

ay 

String getInfo(String param); 
[z= 

* Unregister Callback 

T 


void unregisterCallback(IExclusiveAIDLServiceCallback cb); 


PartnerAlDLService.java 


package org.jssec.android.service.partnerservice.aidl; 


import org.jssec.android.shared.PkgCertWhitelists; 
import org.jssec.android.shared.Utils; 

import android.app.Service; 

import android.content.Context; 

import android.content.Intent; 

import android.os.Handler; 

import android.os.IBinder; 

import android.os.Message; 

import android.os.RemoteCallbackList; 

import android.os.RemoteException; 


4.4.1 示例 代码 


import android.widget.Toast; 
public class PartnerAIDLService extends Service { 


private static final int REPORT_MSG = 1; 

private static final int GETINFO_MSG = 2; 

// The value which this service informs to client 

private int mValue = 0; 

// *** POINT 2 *** Verify that the certificate of the reques 
ting application has been registered in the own white list. 

private static PkgCertWhitelists sWhitelists - null; 


private static void buildWhitelists(Context context) { 
boolean isdebug - Utils.isDebuggable(context); 
swhitelists = new PkgCertWhitelists(); 
// Register certificate hash value of partner applicatio 
n "org.jssec.android.service.partnerservice.aidluser" 
swhitelists.add("org.jssec.android.service.partnerservic 
e.aidluser", isdebug ? 
// Certificate hash value of debug.keystore "androiddebu 
gkey" 
"OEFB7236 328348A9 89718BAD DF57F544 D5CCB4AE B9DB34 
BC 1E29DD26 F77C8255" 
// Certificate hash value of keystore "partner key" 
"1F039BB5 7861C27A 3916C778 8E78CE00 690B3974 3EB825 
9F E2627B8D ACOEC35A"); 
// Register other partner applications in the same w 
ay 
} 


private static boolean checkPartner(Context context, String 
pkgname) { 
if (swhitelists == null) buildWhitelists(context); 
return sWhitelists.test(context, pkgname); 


j 


// Object to register callback 
// Methods which RemoteCallbackList provides are thread-safe. 


private final RemoteCallbackList«IPartnerAIDLServiceCallback 
» mCallbacks - 
new RemoteCallbackList«IPartnerAIDLServiceCallback»(); 


// Handler to send data when callback is called. 

private static class ServiceHandler extends Handler( 

private Context mContext; 

private RemoteCallbackList«IPartnerAIDLServiceCallback» mCal 
lbacks; 

private int mValue = 0; 


public ServiceHandler(Context context, RemoteCallbackList<IP 


artnerAIDLServiceCallback» callback, int value){ 
this.mContext - context; 
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| — fe) AY gn 
4.4.1 TA TA 


this.mCallbacks = callback; 
this.mValue = value; 


} 


@Override 
public void handleMessage(Message msg) { 
switch (msg.what) { 
case REPORT_MSG: { 
if(mCallbacks == null)( 
return; 


// Start broadcast 
// To call back on to the registered clients, us 
e beginBroadcast(). 
// beginBroadcast() makes a copy of the currentl 
y registered callback list. 
final int N = mCallbacks.beginBroadcast(); 
for (int i = 05 i < N; i++) { 
IPartnerAIDLServiceCallback target = mCallba 
cks.getBroadcastItem(i); 
try T 
Jy 72" POINT 5:="** Information, that 1s... 
ranted to disclose to partner applications can be returned. 
target.valueChanged("Information disclos 
ed to partner application (callback from Service) No." + (++mVal 
ue)); 
} catch (RemoteException e) { 
// Callbacks are managed by RemoteCallba 
ckList, do not unregister callbacks here. 
// RemoteCallbackList.kill() unregister 
all callbacks 
} 
} 
// finishBroadcast() cleans up the state of a br 
oadcast previously initiated by calling beginBroadcast(). 
mCallbacks.finishBroadcast(); 
// Repeat after 10 seconds 
sendEmptyMessageDelayed(REPORT MSG, 10000); 
break; 
} 
case GETINFO_MSG: { 
if(mContext != null) { 
Toast .makeText(mContext, 
(String) msg.obj, Toast.LENGTH LONG).sho 
w(); 
} 
break; 
} 
default: 
super .handleMessage(msg); 
break; 
) // switch 
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4.4.1 示例 代码 


protected final ServiceHandler mHandler = new ServiceHandler ( 
this, mCallbacks, mValue); 


// Interfaces defined in AIDL 
private final IPartnerAIDLService.Stub mBinder - new IPartne 
rAIDLService.Stub() ( 
private boolean checkPartner() 1 
Context ctx - PartnerAIDLService.this; 
if (!PartnerAIDLService.checkPartner(ctx, Utils.getP 
ackageNameFromUid(ctx, getCallingUid()))) { 
mHandler.post(new Runnable(){ 
QOverride 
public void run(){ 
Toast.makeText(PartnerAIDLService.this, 
"Requesting application is not partner application.", Toast.LENG 
TH LONG).show(); 
} 


+); 


return false; 


} 


return true; 


} 


public String getInfo(String param) ( 

/f*** POINT 2 *** Verify that the certificate of th 
e requesting application has been registered in the own white li 
St. 

if (!checkPartner()) 1 

return null; 

} 

// *** POINT 4 *** Handle the received intent carefu 
lly and securely, 

// even though the intent was sent from a partner ap 
plication 

// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 

Message msg = new Message(); 

msg.what = GETINFO_MSG; 

msg.obj = String.format("Method calling from partner 
application. Recieved ¥"%s¥"", param); 

PartnerAIDLService.this.mHandler.sendMessage(msg); 

// *** POINT 5 *** Return only information that 15 g 
ranted to be disclosed to a partner application. 

return "Information disclosed to partner application 

(method from Service)"; 


j 


public void unregisterCallback(IPartnerAIDLServiceCallba 
CK Cb 
// *** POINT 2 *** Verify that the certificate of th 
e requesting application has been registered in the own white li 
st. 
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if (!checkPartner()) { 
return; 


if (cb != null) mCallbacks.unregister(cb); 


QOverride 
public IBinder onBind(Intent intent) 1 
// *** POINT 3 *** Verify that the certificate of the re 
questing application has been registered in the own white list. 
// So requesting application must be validated in method 
s defined in AIDL every time. 
return mBinder; 


j 


QOverride 
public void onCreate() { 
Toast.makeText(this, this.getClass().getSimpleName() + " 
- onCreate()", Toast.LENGTH SHORT).show( ); 
// During service is running, inform the incremented num 
ber periodically. 
mHandler.sendEmptyMessage(REPORT MSG); 


j 


QOverride 
public void onDestroy() ( 
Toast.makeText(this, this.getClass().getSimpleName() + " 
- onDestroy()", Toast.LENGTH SHORT).show( ); 
// Unregister all callbacks 
mCallbacks.kill(); 
mHandler.removeMessages(REPORT MSG); 


j 


> 


PkgCertWhitelists.java 


NO 


package org.jssec.android.shared; 


import java.util.HashMap; 
import java.util.Map; 
import android.content.Context; 


public class PkgCertWhitelists { 


private Map<String, String» mwhitelists = new HashMap<String 
, String>(); 


public boolean add(String pkgname, String sha256) { 

if (pkgname == null) return false; 

if (sha256 == null) return false; 

sha256 = sha256.replaceAll(" ", ""); 

if (sha256.length() != 64) return false; // SHA-256 -> 3 
2 bytes -> 64 chars 

sha256 = sha256.toUpperCase(); 

if (sha256.replaceAll("[0-9A-F]+", "").length() != 0) re 
turn false; // found non hex char 

mwhitelists.put(pkgname, sha256); 

return true; 


j 


public boolean test(Context ctx, String pkgname) { 
// Get the correct hash value which corresponds to pkgna 
me. 
String correctHash = mWhitelists.get(pkgname); 
// Compare the actual hash value of pkgname with the cor 
rect hash value. 
return PkgCert.test(ctx, pkgname, correctHash); 


j 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 
public static boolean test(Context ctx, String pkgname, Stri 


ng correctHash) ( 
if (correctHash -- null) return false; 


correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


j 


public static String hash(Context ctx, String pkgname) { 
if (pkgname -- null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
cry t 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
j 


return hexadecimal.toString(); 


下 面 是 使 用 伙伴 服务 的 活动 代码 : 

要 点 (使 用 服务 ) 

oo en 已 在 自己 的 白 名 单 中 注册 。 

7) 开 给 伙伴 应 用 的 信息 。 

8) 使 用 显 式 意图 调用 伙伴 服务 。 

9) 即使 数据 来 自 伙 伴 应 用 ， 也 要 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 


ExclusiveAIDLUserActivity.java 


package org.jssec.android.service.partnerservice.aidluser; 


import org.jssec.android.service.partnerservice.aidl.IPartnerAID 
LService; 

import org.jssec.android.service.partnerservice.aidl.IPartnerAID 
LServiceCallback; 

import org.jssec.android.shared.PkgCertWhitelists; 

import org.jssec.android.shared.Utils; 

import android.app.Activity; 

import android.content.ComponentName; 

import android.content.Context; 

import android.content.Intent; 

import android.content.ServiceConnection; 

import android.os.Bundle; 

import android.os.Handler; 

import android.os.IBinder; 

import android.os.Message; 

import android.os.RemoteException; 

import android.view.View; 

import android.widget.Toast; 


public class PartnerAIDLUserActivity extends Activity ( 


private boolean mIsBound; 

private Context mContext; 

private final static int MGS VALUE CHANGED - 1; 

// *** POINT 6 *** Verify if the certificate of the target a 
pplication has been registered in the own white list. 

private static PkgCertWhitelists sWhitelists = null; 


private static void buildWhitelists(Context context) { 
boolean isdebug - Utils.isDebuggable(context); 
swhitelists = new PkgCertWhitelists(); 
// Register certificate hash value of partner service ap 
plication "org.jssec.android.service.partnerservice.aidl" 
sWhitelists.add("org.jssec.android.service.partnerservic 
e.aidl", isdebug ? 
// Certificate hash value of debug.keystore "android 
debugkey" 
"OEFB7236 328348A9 89718BAD DF57F544 D5CCBAAE B9DB34 
BC 1E29DD26 F77C8255" 
// Certificate hash value of keystore "my company ke 


y 
"D397D343 A5CBC10F 4EDDEB7C A10062DE 5690984F 1FB9E8 


8B D7B3A7C2 42E142CA"); 
// Register other partner service applications in th 
e same way 


} 


private static boolean checkPartner(Context context, String 
pkgname) { 
if (swhitelists == null) buildWhitelists(context); 


return sWhitelists.test(context, pkgname); 


} 


// Information about destination (requested) partner activit 
Vie 

private static final String TARGET_PACKAGE = "org.jssec.andr 
oid.service.partnerservice.aidl"; 

private static final String TARGET CLASS - "org.jssec.androi 
d.service.partnerservice.aidl.PartnerAIDLService"; 


private static class ReceiveHandler extends Handler{ 
private Context mContext; 
public ReceiveHandler(Context context)( 
this.mContext - context; 


j 


QOverride 
public void handleMessage(Message msg) { 
switch (msg.what) ( 
case MGS VALUE CHANGED: { 
String info - (String)msg.obj; 
Toast.makeText(mContext, String.format("Received 
¥"%S¥" with callback.", info), Toast.LENGTH SHORT).show(); 
break; 
} 


default: 
super .handleMessage(msg); 
break; 
+ 77 Switch 


} 


private final ReceiveHandler mHandler = new ReceiveHandler(t 
Ds) 


// Interfaces defined in AIDL. Receive notice from service 
private final IPartnerAIDLServiceCallback.Stub mCallback = 
new IPartnerAIDLServiceCallback.Stub() ( 

QOverride 

public void valueChanged(String info) throws RemoteExcep 


tion ( 
Message msg - mHandler.obtainMessage(MGS VALUE CHANG 
ED, info); 
mHandler.sendMessage(msg); 
} 
}; 


// Interfaces defined in AIDL. Inform service. 

private IPartnerAIDLService mService = null; 

// Connection used to connect with service. This is necessar 
y when service is implemented with bindService(). 

private ServiceConnection mConnection = new ServiceConnectio 


n() a 


// This is called when the connection with the service h 


as been established. 
@Override 
public void onServiceConnected(ComponentName className, 
IBinder service) { 
mService = IPartnerAIDLService.Stub.asInterface(serv 
ice); 
try{ 
// connect to service 
mService.registerCallback(mCallback); 
}catch(RemoteException e){ 
// service stopped abnormally 
} 


Toast.makeText(mContext, "Connected to service", Toa 
st.LENGTH_SHORT).show(); 


} 


// This is called when the service stopped abnormally an 
d connection is disconnected. 

@Override 

public void onServiceDisconnected(ComponentName classNam 


e) { 
Toast.makeText(mContext, "Disconnected from service" 
, Toast.LENGTH_SHORT).show(); 
} 
J; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.partnerservice activity); 
mContext - this; 


} 


// --- StartService control --- 

public void onStartServiceClick(View v) { 
// Start bindService 
doBindService(); 


j 


public void onGetInfoClick(View v) { 
getServiceinfo(); 
} 


public void onStopServiceClick(View v) { 
doUnbindService(); 
} 


@Override 

public void onDestroy() { 
super.onDestroy(); 
doUnbindService(); 





[Poe 
* Connect to service 
wh 
private void doBindService() { 
if (!mIsBound) { 
// *** POINT 6 *** Verify if the certificate of the targ 
et application has been registered in the own white list. 
if (!checkPartner(this, TARGET PACKAGE)) { 
Toast.makeText(this, "Destination(Requested) sevice 
application is not registered in white list.", Toast.LENGTH LONG 
).show(); 


} 


Intent intent = new Intent(); 

// *** POINT 7 *** Return only information that is grant 
ed to be disclosed to a partner application. 

intent.putExtra("PARAM", "Information disclosed to partn 
er application"); 

// *** POINT 8 *** Use the explicit intent to call a par 
tner service. 

intent.setClassName(TARGET PACKAGE, TARGET CLASS); 

bindService(intent, mConnection, Context.BIND AUTO CREAT 


return; 


E); 
mIsBound = true; 
} 
} 
JESSE 
* Disconnect service 
yh 


private void doUnbindService() { 
if (mIsBound) { 
// Unregister callbacks which have been registered. 
if(mService != null){ 
try{ 
mService.unregisterCallback(mCallback) ; 
jcatch(RemoteException e){ 
// Service stopped abnormally 
// Omitted, since it' s sample. 
} 
} 
unbindService(mConnection); 
Intent intent - new Intent(); 
// *** POINT 8 *** Use the explicit intent to call a 
partner service. 
intent.setClassName(TARGET PACKAGE, TARGET CLASS); 
stopService(intent); 
mlIsBound - false; 


} 


JES 
* Get information from service 


a 
void getServiceinfo() { 
if (mIsBound && mService != null) { 
String info = null; 
try { 
// *** POINT 7 *** Return only information that 
is granted to be disclosed to a partner application. 
info = mService.getInfo("Information disclosed t 
o partner application (method from activity)"); 
} catch (RemoteException e) { 
e.printStackTrace(); 
} 


// *** POINT 9 *** Handle the received result data c 
arefully and securely, 

// even though the data came from a partner applicat 
ion. 

// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 

Toast.makeText(mContext, String.format("Received ¥"% 
s¥" from service.", info), Toast.LENGTH SHORT).show(); 


} 
} 


PkgCertWhitelists.java 
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package org.jssec.android.shared; 


import java.util.HashMap; 
import java.util.Map; 
import android.content.Context; 


public class PkgCertWhitelists { 


private Map<String, String» mwhitelists = new HashMap<String 
, String>(); 


public boolean add(String pkgname, String sha256) { 

if (pkgname == null) return false; 

if (sha256 == null) return false; 

sha256 = sha256.replaceAll(" ", ""); 

if (sha256.length() != 64) return false; // SHA-256 -> 3 
2 bytes -> 64 chars 

sha256 = sha256.toUpperCase(); 

if (sha256.replaceAll("[0-9A-F]+", "").length() != 0) re 
turn false; // found non hex char 

mwhitelists.put(pkgname, sha256); 

return true; 


j 


public boolean test(Context ctx, String pkgname) { 
// Get the correct hash value which corresponds to pkgna 
me. 
String correctHash = mWhitelists.get(pkgname); 
// Compare the actual hash value of pkgname with the cor 
rect hash value. 
return PkgCert.test(ctx, pkgname, correctHash); 


j 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 
public static boolean test(Context ctx, String pkgname, Stri 


ng correctHash) ( 
if (correctHash -- null) return false; 


correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


j 


public static String hash(Context ctx, String pkgname) { 
if (pkgname -- null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
cry t 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


4.4.1.4 创建 /使 用 内 部 服务 


内 部 服务 是 除了 内 部 应 用 以 外 的 应 用 禁止 使 用 的 服务 。 它们 用 于 内 部 开发 的 应 用 ， 
以 便 安全 地 共享 信息 和 功能 。 以 下 是 使 用 Messenger 绪 定 类 型 服务 的 示例 。 


要 点 (创建 服务 ) 

1) 定义 内 部 签名 权限 。 

2) 需要 内 部 签名 权限 。 

3) 不 要 定义 意图 过 滤器 ， 并 将 导出 属性 显 式 设 置 为 true 。 

4) 确认 内 部 签名 权限 是 由 内 部 应 用 定义 的 。 

5) 尽管 意图 是 从 内 部 应 用 发 送 的 ， 但 要 小 心 并 安全 地 处 理 接收 到 的 意图 。 
6) 由 于 请 求 应 用 是 内 部 的 ， 因 此 可 以 返回 敏感 信息 。 

7) 导出 APK 时 ， 请 使 用 与 请 求 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.service.inhouseservice.messenger" 
> 
<!-- *** POINT 1 *** Define an in-house signature permission 
LPS 
«permission 
android: name="org.jssec.android.service.inhouseservice.messe 
nger .MY_PERMISSION" 
android:protectionLevel-" signature" /> 
«application 
android:icon-z"Qdrawable/ic launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<!-- Service using Messenger --> 
<!-- *** POINT 2 *** Require the in-house signature perm 
ission --> 
<!-- *** POINT 3 *** Do not define the intent filter and 
explicitly set the exported attribute to true. --> 
<service 
android: name="org.jssec.android.service.inhouseservi 
ce.messenger . InhouseMessengerService" 
android: exported="true" 
android: permission="org.jssec.android.service.inhous 
eservice.messenger.MY PERMISSION" /> 
«/application» 
</manifest> 


InhouseMessengerService.java 


package org.jssec.android.service. inhouseservice.messenger ; 


import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import java.lang.reflect.Array; 

import java.util.ArrayList; 

import java.util.Iterator; 

import android.app.Service; 

import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.os.Handler; 

import android.os.IBinder; 

import android.os.Message; 

import android.os.Messenger; 

import android.os.RemoteException; 
import android.widget.Toast; 


public class InhouseMessengerService extends Service( 


// In-house signature permission 

private static final String MY PERMISSION - "org.jssec.andro 
id.service.inhouseservice.messenger.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of debug.keystore "and 
roiddebugkey" 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of keystore "my compan 
y key" 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
} 
} 
return sMyCertHash; 


} 


// Manage clients(destinations of sending data) in a list 

private ArrayList<Messenger> mClients = new ArrayList<Messen 
ger>(); 

// Messenger used when service receive data from client 

private final Messenger mMessenger = new Messenger (new Servi 
ceSideHandler(mClients) ); 


// Handler which handles message received from client 
private static class ServiceSideHandler extends Handler{ 
private ArrayList<Messenger> mClients; 


public ServiceSideHandler (ArrayList<Messenger> clients) { 
mClients = clients; 
} 


@Override 
public void handleMessage(Message msg) { 
switch(msg.what) { 
case CommonValue.MSG_REGISTER_CLIENT: 
// Add messenger received from client 
mClients.add(msg.replyTo); 
break; 
case CommonValue.MSG UNREGISTER CLIENT: 
mClients.remove(msg.replyTo); 
break; 
case CommonValue.MSG SET VALUE: 
// Send data to client 
sendMessageToClients(mClients); 


break; 
default: 
super.handleMessage(msg); 
break; 
} 
} 

} 

f 9338 

* Send data to client 

ai 


private static void sendMessageToClients(ArrayList«Messenger 
> mClients){ 
// *** POINT 6 *** Sensitive information can be returned 
Since the requesting application is inhouse. 
String sendValue = "Sensitive information (from Service)" 


// Send data to the registered client one by one. 
// Use iterator to send all clients even though clients 
are removed in the loop process. 
Iterator«Messenger» ite = mClients.iterator(); 
while(ite.hasNext()){ 
ing A 
Message sendMsg = Message.obtain(null, CommonVal 
ue.MSG_SET_VALUE, null); 
Bundle data = new Bundle(); 
data.putString("key", sendValue); 
sendMsg.setData(data); 
Messenger next - ite.next(); 
next.send(sendMsg); 
) catch (RemoteException e) ( 
// If client does not exits, remove it from a li 


4.4.1 示例 代码 


Si 
ite.remove(); 


} 


public IBinder onBind(Intent intent) { 
// *** POINT 4 *** Verify that the in-house signature pe 
rmission is defined by an in-house application. 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 
) {í 
Toast.makeText(this, "In-house defined signature per 
mission is not defined by in-house application. ", Toast.LENGTH_L 


ONG) .show(); 
return null; 
} 


// *** POINT 5 *** Handle the received intent carefully 
and securely, 

// even though the intent was sent from an in-house appl 
LeatLon. 

// Omitted, since this is a sample. Please refer to "3.2 

Handling Input Data Carefully and Securely." 

String param = intent.getStringExtra("PARAM"); 

Toast.makeText(this, String.format("Received parameter ¥" 
%s¥".", param), Toast.LENGTH LONG).show(); 

return mMessenger.getBinder(); 

} 


@Override 
public void onCreate() { 
Toast.makeText(this, "Service - onCreate()", Toast.LENGT 
H SHORT).show(); 


QOverride 
public void onDestroy() { 
Toast.makeText(this, "Service - onDestroy()", Toast.LENG 
TH SHORT).show(); 


ln] m————S 9:8 94XSES 


SigPerm.java 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try c 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager( ); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
Packagelnfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
Cry 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


要 点 7 : BH APK 时 ， 请 使 用 与 请 求 应 用 相同 的 开发 人 员 密 铀 对 APK 进行 签名 。 


4.4.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 





Key store password: 








Key alias: 





Key password: 
[_] Remember passwords 


| Previous | Cancel | | Help | 





下 面 是 使 用 内 部 服务 的 活动 代码 : 

要 点 〈 使 用 服务 ) 

8) 声明 使 用 内 部 签名 权限 。 

9) 确认 内 部 签名 权限 是 由 内 部 应 用 定义 的 。 

10) 验证 目标 应 用 是 否 使 用 内 部 证 书签 名 。 

11) 由 于 目标 应 用 是 内 部 的 ， 因 此 可 以 发 送 敏感 信息 。 

12) 使 用 显 式 意图 调用 内 部 服务 。 

13) 即使 数据 来 自 内 部 应 用 ， 也 要 小 心 并 安全 地 处 理 收 到 的 结果 数据 。 

14) 导出 APK 时 ， 请 使 用 与 目标 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签名 。 


— ~ ~ 
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<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.service.inhouseservice.messengeru 
ser" » 
<!-- *** POINT 8 *** Declare to use the in-house signature p 
ermission. --> 
«uses-permission 
android: name="org.jssec.android.service.inhouseservice.messe 
nger.MY PERMISSION" /> 
«application 
android:icon-z"Qdrawable/ic launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name="org.jssec.android.service.inhouseservi 
ce.messengeruser . InhouseMessengerUserActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
"s 
«category android:name="android.intent.category. 
LAUNCHER" /» 
</intent-filter> 
</activity> 
</application> 
</manifest> 


加 i 


InhouseMessengerUserActivity.java 


package org.jssec.android.service.inhouseservice.messengeruser; 


import org.jssec.android.shared.PkgCert; 
import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.ComponentName; 
import android.content.Context; 

import android.content.Intent; 

import android.content.ServiceConnection; 
import android.os.Bundle; 

import android.os.Handler; 

import android.os.IBinder; 

import android.os.Message; 

import android.os.Messenger; 

import android.os.RemoteException; 
import android.view.View; 

import android.widget.Toast; 


4.4.1 示例 代码 


public class InhouseMessengerUserActivity extends Activity { 


private boolean mIsBound; 

private Context mContext; 

// Destination (Requested) service application information 

private static final String TARGET_PACKAGE = "org.jssec.andr 
oid.service.inhouseservice.messenger"; 

private static final String TARGET CLASS - "org.jssec.androi 
d.service.inhouseservice.messenger . InhouseMessengerService"; 

// In-house signature permission 

private static final String MY_PERMISSION = "org.jssec.andro 
id.service.inhouseservice.messenger.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of debug.keystore "and 
roiddebugkey" 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of keystore "my compan 
y key" 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
} 
} 
return sMyCertHash; 


} 


// Messenger used when this application receives data from s 
ervice. 

private Messenger mServiceMessenger = null; 

// Messenger used when this application sends data to servic 
e. 

private final Messenger mActivityMessenger = new Messenger (n 
ew ActivitySideHandler()); 


// Handler which handles message received from service 
private class ActivitySideHandler extends Handler { 


@Override 
public void handleMessage(Message msg) { 
switch (msg.what) { 
case CommonValue.MSG_SET_VALUE: 
Bundle data = msg.getData(); 
String info = data.getString("key"); 
// *** POINT 13 *** Handle the received resu 
lt data carefully and securely, 
// even though the data came from an in-hous 
e application 


200 


// Omitted, since this is a sample. Please r 
efer to "3.2 Handling Input Data Carefully and Securely." 

Toast .makeText(mContext, String.format("Rece 
ived ¥"%s¥" from service.", info), 

Toast .LENGTH_SHORT) .show(); 

break; 

default: 
super.handleMessage(msg); 


j 


// Connection used to connect with service. This is necessar 
y when service is implemented with bindSrvice(). 
private ServiceConnection mConnection - new ServiceConnectio 


n() 1 


// This is called when the connection with the service h 
as been established. 
QOverride 
public void onServiceConnected(ComponentName className, 
IBinder service) { 
mServiceMessenger - new Messenger(service); 
Toast.makeText(mContext, "Connect to service", Toast 
.LENGTH. SHORT) . show( ) ; 
Cy tf 
// Send own messenger to service 
Message msg = Message.obtain(null, CommonValue.M 
SG REGISTER CLIENT); 
msg.replyTo - mActivityMessenger; 
mServiceMessenger.send(msg); 
) catch (RemoteException e) ( 
// Service stopped abnormally 
} 


} 


// This is called when the service stopped abnormally an 
d connection is disconnected. 
@Override 
public void onServiceDisconnected(ComponentName classNam 
e)t 
mServiceMessenger - null; 
Toast.makeText(mContext, "Disconnected from service" 
, Toast.LENGTH SHORT). show(); 
} 
}; 


QOverride 

public void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.inhouseservice activity); 
mContext - this; 


// --- StartService control --- 

public void onStartServiceClick(View v) { 
// Start bindService 
doBindService(); 


} 


public void onGetInfoClick(View v) { 
getServiceinfo(); 
} 


public void onStopServiceClick(View v) { 
doUnbindService(); 
} 


@Override 

protected void onDestroy() { 
super.onDestroy(); 
doUnbindService(); 


j 


Pigs 
* Connect to service 
1 
void doBindService() { 
if (!mIsBound) { 
// *** POINT 9 *** Verify that the in-house signatur 
e permission is defined by an in-house application. 
if (!SigPerm.test(this, MY_PERMISSION, myCertHash(th 
is))) 4 
Toast.makeText(this, "In-house defined signature 
permission is not defined by in-house application.", Toast.LENG 
TH LONG).show(); 
return; 
} 


// *** POINT 10 *** Verify that the destination appl 
ication is signed with the in-house certificate. 

if (!PkgCert.test(this, TARGET_PACKAGE, myCertHash(t 
his))) { 

Toast.makeText(this, "Destination(Requested) ser 
vice application is not in-house application.", Toast.LENGTH_LON 
G).show(); 

return; 

} 

Intent intent = new Intent(); 

// *** POINT 11 *** Sensitive information can be sen 
t since the destination application is in-house one. 

intent.putExtra("PARAM", "Sensitive information"); 

ff *** POINT 12. *** Use the explicit intent to call 
an in-house service. 

intent.setClassName(TARGET PACKAGE, TARGET CLASS); 

bindService(intent, mConnection, Context.BIND AUTO C 


202 


REATE); 
mIsBound = true; 


} 


[Pres 
* Disconnect service 
*/ 
void doUnbindService() { 
if (mIsBound) { 
unbindService(mConnection); 
mIsBound = false; 


} 
} 
[fers 
* Get information from service 
"y 
void getServiceinfo() 1 
if (mServiceMessenger !- null) ( 


try 
// Request sending information 
Message msg - Message.obtain(null, CommonValue.M 
SG SET VALUE); 
mServiceMessenger.send(msg); 
) catch (RemoteException e) ( 
// Service stopped abnormally 
} 


SigPerm.java 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try c 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager( ); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
Packagelnfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
Cry 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 


j 


return hexadecimal.toString(); 


要 点 14 : 导出 APK 时 ， 请 使 用 与 目标 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签 
名 。 


4.4.1 示例 代码 


ff Generate Signed APK 


Key store path: C:¥jssec¥Projects¥keystore 


Key alias: 


Key password: 
[ ] Remember passwords 
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4.4.2 规则 书 


实现 或 使 用 服务 时 ， 遵 循 下 列 规则 。 


4.4.2.1 仅仅 在 应 用 中 使 用 的 服务 ， 必 须 设 为 私有 (必需) 


仅 在 应 用 (或 同一 个 UID) 中 使 用 的 服务 必须 设置 为 “私有 "。 它 避 免 了 应 用 意外 地 
从 其 他 应 用 接收 意图 ， 并 最 终 防 止 应 用 的 功能 被 使 用 ， 或 应 用 的 行为 变 得 异常 。 


在 AndroidManifest.xml 中 定义 服务 时 ， 你 在 必须 将 导出 属性 设置 为 false 。 


AndroidManifest.xml 


<!-- Private Service derived from Service class --> 

<!-- *** POINT 1 *** Set false for the exported attribute explic 
itly. --> 

«service android:name=".PrivateStartService" android: exported="f 
alse"/» 


另外 ， 这 种 情况 很 少见 ， 但 是 当 服 务 仅 在 应 用 中 使 用 时 ， 不 要 设置 意图 过 滤器 。 原 
因 是 ， 由 于 意图 过 滤器 的 特性 ， 可 能 会 意外 调用 其 他 应 用 中 的 公共 服务 ， 虽 然 你 打 
算 调用 应 用 内 的 私有 服务 。 


AndroidManifest.xml (不 推荐 ) 


<!-- Private Service derived from Service class --> 
<!-- *** POINT 1 *** Set false for the exported attribute explic 
itly. --> 
«service android:name=".PrivateStartService" android: exported="f 
alse"> 

<intent-filter> 

«action android: name="org.jssec.android.service.OPEN /> 

</intent-filter> 

</service> 


请 参阅 “4.4.3.1 导出 属性 和 意图 过 滤器 设置 的 组 合 〈 在 服务 情况 下 ) ”。 


4.4.2.2 小 心 并 安全 地 处 理 收 到 的 数据 (必需 ) 


与 “活动 "相同 ， 如 果 是 “服务 "， 则 在 处 理 收 到 的 意图 数据 时 ， 你 应 该 做 的 第 一 件 事 是 
输入 验证 。 同样 在 服务 的 用 户 方 ， 有 必要 验证 来 自 服务 的 结果 信息 的 安全 性 。 请 参 
iq"4.1.2.5 小 心 并 安全 地 处 理 收 到 的 意图 (必需) "和 "4.1.2.9 小 心 并 安全 地 处 理 从 
被 请 求 活动 返回 的 数据 *。 


在 服务 中 ， 你 还 应 该 小 心 实现 调用 方法 ， 并 通过 消息 交换 数据 。 


请 参阅 “3.2 小 心 并 安全 地 处 理 输入 数据 ”。 


4.4.2.3 在 验证 签名 权限 由 内 部 定义 之 后 ， 使 用 内 部 定义 的 签名 全 
新 啊 (必需 ) 


确保 在 创建 服务 时 ， 通 过 定义 内 部 签名 权限 来 保护 你 的 内 部 服务 。 由 于 
在 AndroidManifest.xml 文件 中 定义 权限 或 声明 权限 请 求 ， gern es 
性 ， 请 务必 参考 “5.2.1.2 如 何 使 用 内 部 定义 的 签名 权限 在 内 部 应 用 之 间 进 à" 


4.4.2.4 FZ oncreate 中 判断 服务 是 否 提供 自己 的 函数 ( 必 


需 ) 


onCreate 中 不 应 包含 安全 检查 ， 例 如 意图 参数 验证 ， 或 内 部 定义 的 签名 权限 验 
证 ， 因 为 在 服务 运行 期 间接 收 到 新 请 求 时 ， 不 会 执行 onCreate 过 程 。 所 以 ， 在 
实现 由 startService 局 动 的 服务 时 ， 应 该 由 onStartCommand 来 执行 判断 (使 
用 IntentService 的 情况 下 ， 判 断 应 该 由 onHandleIntent 来 执行 ) 。 在 实现 
由 bindService 启动 的 Service 的 情况 下 也 是 一 样 的 ， 判 断 应 该 由 onBind 4A 


PE 


T] ? 


4.4.2.5 返回 结果 信息 ， 注 意 来 自 目标 应 用 的 可 能 的 信息 泄露 ( 必 
£) 

取决 于 服务 类 型 ， 结 果 信息 的 目标 应 用 《回调 接收 方 / Message 的 目标 ) 的 可 靠 性 
有 所 不 同 。 考虑 到 目标 可 能 是 恶意 软件 的 可 能 性 ， 需 要 认真 考虑 信息 泄漏 。 
详细 信息 请 参阅 “4.1.2.7 返回 结果 时 ， 注 意 目标 应 用 的 可 能 的 信息 泄露 (必需) ”。 


4.4.2.6 如 果 目 标 是 固定 的 ， 使 用 显 式 意图 (必需 ) 


当 通 过 隐 式 意图 使 用 服务 时 ， 如 果 意 图 过 滤器 的 定义 相同 ， 则 意图 会 发 送 到 首先 之 
Waa 如 果 之 前 安装 了 恶意 软件 ， 它 故意 定 XT 同一 个 意图 过 滤器 ， 则 意图 会 
发 送 到 悉 意 软件 并 发 生 信息 泄露 。 另 一 方面 ， 当 通过 显 式 意图 使 用 服务 时 ， RAR 
期 的 服务 会 收 到 意 > PT VAIL HE RBA oO 


还 有 一 些 要 考虑 的 要 点 ， 请 参阅 “4.1.2.8 如 果 目 标 活动 是 预定 义 的 ， 则 使 用 显 式 意 
图 (必需 ) ”。 

4.4.2.7 如 果 与 其 他 公司 的 应 用 链接 ， 验 证 目标 服务 (必需 ) 

与 其 他 公司 的 应 用 链接 时 ， 确 保 确定 了 白 名 单 。 你 可 以 通过 在 应 用 内 保存 公司 证 书 


的 散 列 副本 ， 并 使 用 目标 应 用 的 证 书 散 列 来 检查 它 。 这 将 防止 恶意 应 用 伪造 意图 。 
具体 实现 方法 请 参考 "4.4.1.3 创建 /使 用 伙伴 服务 "的 示例 代码 部 分 。 


4.4.2.8 当 提 供 二 次 素材 时 ， 素 材 应 该 受到 相同 级 别 的 保护 ( 必 
& ) 


当 受 到 权限 保护 的 信息 或 功能 素材 ， 由 另 一 个 应 用 提供 时 ， 你 需要 确保 它 具 有 访问 
素材 所 需 的 相同 权限 。 在 Android OS 权限 安全 模型 中 ， 只 有 已 被 授予 适当 权限 的 
应 用 ， 才 能 直接 访问 受 保 护 的 素材 。 但是， 存在 一 个 漏洞 ， 因 为 具有 素材 权限 的 应 
用 可 以 充当 代理 ， 并 允许 非特 权 应 用 访问 。 基本 上 这 与 重新 授权 相同 ， 因 此 它 被 称 
为 “重新 授权 "问题 。 请 参阅 "5.2.3.4 重新 授权 问题 "。 


4.4.2.9 尽 可 能 不 要 发 送 敏感 信息 (推荐 ) 

你 不 应 将 敏感 信息 发 送 给 不 受信 任 的 各 方 。 

在 与 服务 交换 敏感 信息 时 ， 你 需要 考虑 信息 泄露 的 风险 。 你 必须 假设 ， 发 送 到 公共 
服务 的 意图 中 的 所 有 数据 都 可 以 由 恶意 第 三 方 获取 。 此 外 ， 根 据 实 现 情况 ， 向 伙伴 
或 内 部 服务 发 送 意 图 时 ， 也 存在 各 种 信息 泄露 的 风险 。 

首先 ， 不 发 送 敏感 数据 ， 是 防止 信息 泄露 的 唯一 完美 解决 方案 ， 因 此 你 应 该 尽 可 能 


限制 发 送 的 敏感 信息 的 数量 。 当 需要 发 送 敏感 信息 时 ， 最 佳 做 法 是 仅 发 送 给 可 信服 
务 并 确保 信息 不 会 通过 LogCat W% © 


4.4.3 高 级 话题 


4.4.3.1 导出 属性 和 意图 过 滤器 设置 的 组 合 (在 服务 情况 下 ) 


我 们 已 经 本 指南 中 解释 了 如 何在 实现 四 种 服务 类 型 : 私有 服务 ， 公 共 服 务 ， 伙 伴 服 
务 和 内 部 服务 。 下 表 中 定义 了 每 种 导出 属性 类 型 的 许可 设置 ， 以 

及 intent-filter 元 素 的 各 种 组 合 ， 它 们 AndroidManifest.xml 文件 中 定义 。 
请 验证 导出 属性 和 intent-filter 元 素 与 你 尝试 创建 的 服务 的 兼容 性 。 


表 4.4-3 


导出 属性 的 值 
True False 未 指定 
意图 过 滤器 已 定义 公共 (不 使 用 ) (不 使 用 ) 
意图 过 滤器 未 定义 公共 ， 伙 伴 ， 内 部 私有 (不 使 用 ) 


如 果 服 务 中 的 导出 属性 是 未 指定 的 ， 服 务 是 否 公开 由 是 否定 义 了 意图 过 滤器 决定 

[9] ; 但 是 ， 在 本 指南 中 ， 禁止 将 服务 的 导出 属性 设 LBA AWE 9 通常 ， 如 前 所 述 ， 
最 好 避免 依赖 任何 给 X. API 的 默认 行为 的 实现 ; 此 外 ， 如 果 存 在 显 式 方法 来 配置 重 
要 的 安全 相关 1 SE EAS. 那么 使 用 这 些 方 法 总 是 一 个 好 主意 。 


[9] 如 果 定 义 了 任何 意图 过 滤器 ， 服 务 是 公开 的 ， 和 否则 是 私有 的 。 更 多 信息 请 见 
https://developer.android.com/guide/topics/manifest/service- 
element.html#exported ° 


不 应 该 使 用 未 定义 的 意图 过 滤器 s 和 导出 属性 false 的 原因 是 ，Android 的 行为 存 
在 漏洞 ， 并 且 由 于 意图 过 滤器 的 工作 原理 ， 可 能 会 意外 调用 其 他 应 用 的 服务 。 


具体 而 言 ，Android 的 行为 如 下 ， 因 此 在 设计 应 用 时 需要 仔细 考虑 。 


e 当 多 个 服务 定义 了 相同 的 意图 过 滤器 内 容 时 ， 更 早 安 装 的 应 用 中 的 服务 是 优先 
的 。 
e 如 果 使 用 显 式 意图 ， 则 优先 的 服务 将 被 自动 选择 并 由 OS 调用 。 


以 下 三 张 图 描述 了 一 个 系统 ， 由 于 Android 行为 而 发 生意 外 调用 的 。 图 4.4-4 是 一 

个 正常 行为 的 例子 ， 私 有 服务 (LAA) 只 能 由 同一 个 应 用 通过 隐 式 意图 调用 。 

o 人 定义 了 意图 过 滤器 (图 中 的 action z"x" ) ， 所 以 它 的 行为 正常 。 
常 的 行为 。 


Application A 
Call a service with 
the implicit intent 


Intent(“X”) 


Application C 


Private Service A-1 Call the service with 
exported=“false” the implicit intent 


action="X l Intent(“X”) 


Since the service A-1 is private one, 
it can be called only by the application A. 


Android device 





Figure 4.4-4 


图 4.4-5 和 图 4.4-6 展示 了 一 个 情景 ， 其 中 应 用 B 和 应 用 A 中 定义 了 相同 的 意图 过 
滤器 ( action ="X" ) 。 

图 4.4-5 展示 了 应 用 按 A -> B 的 顺序 安装 。 在 这 种 情况 下 ， 当 应 用 C 发 送 隐 式 意 
图 时 ， 私 有 服务 (A-1) 调用 失败 。 另 一 方面 ， 由 于 应 用 A 可 以 通过 隐 式 意图 ， 按 
照 预期 成 功 调用 应 用 内 的 私有 服务 ， 因 此 在 安全 性 (恶意 软件 的 对 策 ) 方面 不 会 有 
任何 问题 。 


Application A 
Call a service with 
the implicit intent 


Private Service A-1 


Application C 
Call the service with 


exported="“false” the implicit intent 


action= X Intent(“X”) 


Application B 


Public Service B-1 
exported-" true" 
action=" X" 


When application A that has private 
service is installed earlier than 
applications else, and it does not accept 
any intents from other applications. 
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Figure 4.4-5 


图 4.4-6 展示 了 一 个 场景 ， 应 用 以 B->A 的 顺序 安装 。 就 安全 性 而 言 ， 这 里 存在 一 
个 问题 ， 应 用 人 尝试 通过 发 送 隐 式 意图 来 ， 调 用 应 用 中 的 私有 服务 ， 但 实际 上 调用 
了 之 前 安装 的 应 用 B 中 的 公共 活动 (B-1) 。 > 敏感 信息 可 能 会 从 应 
用 人 发 送 到 应 用 B。 如 果 应 用 B 是 恶意 软件 ， 它 会 导致 敏感 信息 的 泄漏 。 


Application C 
Application B Call the service with 
the implicit intent 


Public Service B-1 Intent(" X") 


exported-" true" 
action-"X" 





Application A 
Call a service with 
the implicit intent 


Private Service A-1 
exported-" false" 
action-" X 


When application BA that has public 

" service is installed earlier than 
applications else, and it is only enabled 
and service B-1 is called unintentionally 
from application A. 


Android device 





Figure 4.4-6 


如 上 所 示 ， 使 用 意图 过 滤器 向 私有 服务 发 送 隐 式 意图 ， 可 能 会 导致 意外 行为 ， 因 此 
最 好 避 免 此 设 E ° 


4.4.3.2 如 何 实现 服务 


由 于 实现 服务 的 方法 是 多 种 多 样 的 ， 应 该 按 安全 类 型 进行 选择 ， 它 由 示例 代码 分 
类 ， 本 文 对 各 个 特性 进行 了 简要 说 明 。 它 大 致 分 为 使 用 startService 和 使 

用 bindService 的 情况 。 还 可 以 创建 在 startService 和 bindService 中 都 
可 以 使 用 的 服务 。 应 该 调查 以 下 项 目 来 确定 服务 的 实现 方法 。 


是 否 将 服务 公开 给 其 他 应 用 (服务 的 公开 ) 
是 否 在 运行 中 交换 数据 (相互 发 送 / 接 收 数据 ) 
是 否 控制 服务 (启动 或 完成 ) 

是 否 作 为 另 一 个 进程 执行 (进程 间 通 信 ) 
是 否 并 行 执行 多 个 进程 (并 行进 程 ) 


Š 4.4-3 显示 了 每 个 条 目的 实现 方法 类 别 和 可 行 性 。“NG” 代 表 不 可 能 的 情况 ， 或 者 
需要 另 一 个 框架 的 情况 ， 它 与 所 提供 的 函数 不 同 。 


表 4.4-4 服务 的 实现 方法 分 类 


类 别 服务 相互 发 送 / 接 控制 CES FEAT 

公开 收 数据 服务 通信 进程 
[eee Biase 类 Ok NG OK OK NG 
gee 类 Ok NG NG Ok NG 
AHL AE NG OK OK NG NG 
E Eo OR OK OK NG 
AIDL 绑 定 类 型 OK OK OK OK OK 


startService 类 型 


是 最 基本 的 服务 。 它 继承 了 Service 类 ， 并 通过 onstartCommand 执行 过 


o 


Es 


在 用 户 方 ， 服 务 由 意图 指定 ， 并 通过 startservice 调用 。 由 于 结果 等 数据 无 法 
直接 返回 给 源 意图 ， 因 此 应 与 其 他 方法 (如 广播 ) 结合 使 用 。 具 体 示例 请 参 
考 “4.4.1.1 创建 /使 用 私有 服务 ”。 


安全 性 检查 应 该 由 onStartCommand 完成 ， 但 不 能 用 于 伙伴 服务 ， 因 为 无 法 获取 
来 源 的 软件 包 名 称 。 


IntentService 类 型 


IntentService 是 通过 继承 Service 创建 的 类 。 调用 方法 
与 startService 类 型 相同 。 以 下 是 与 标准 服务 ( startService 类 型 ) 相 比 较 
的 特征 。 


e 意图 的 处 理由 onHandleIntent 完成 (不 使 用 onStartCommand ) 。 

e 由 另 一 个 线程 执行 。 

e 过 程 将 排队 。 
由 于 过 程 是 由 另 一 个 线程 执行 的 ， 因 此 调用 会 立即 返回 ， 并 且 面 向 意图 的 过 程 由 队 
列 系统 顺序 执行 。 每 个 意图 并 不 是 并 行 处 理 的 ， 但 根据 产品 的 要 求 ， 它 也 可 以 作为 
选项 来 选择 ， 来 简化 实现 。 由 于 结果 等 数据 不 能 返回 给 源 意 图 ， 因 此 应 该 与 其 他 方 
ik (如 广播 ) 结合 使 用 。 具体 实例 请 参考 “4.4.1.2 创建 /使 用 公共 服务 ”。 


安全 性 检查 应 该 由 onHandleIntent 来 完成 ， 但 不 能 用 于 伙伴 服务 ， 因 为 无 法 获 
取 来 源 的 包 名 称 。 

AHL A 

这 是 一 种 实现 本 地 服务 的 方法 ， 它 仅 工 作 在 与 应 用 相同 的 过 程 中 。 将 类 定义 为 
从 Binder 类 派生 的 类 ， 并 准备 将 Service 中 实现 的 特性 (方法 ) 提供 给 调用 
aN 


在 用 户 方 ， 服 务 由 意图 指定 并 使 用 bindservice 调用 。 这 是 绑 定 服务 的 所 有 方法 
中 最 简单 的 实现 ， 但 它 的 用 途 有 限 ， 因 为 它 不 能 被 其 他 进程 启动 ， 并 且 服 务 也 不 能 
公开 。 具体 实现 示例 ， 请 参阅 示例 代码 中 包含 的 项 

H^" PrivateServiceLocalBind 服务 ”。 


从 安全 角度 来 看 ， 只 能 实现 私有 服务 。 
Messenger 绑 定 类 型 
这 是 一 种 方法 ， 通 过 使 用 Messenger 系统 来 实现 与 服务 的 链接 。 


由 于 Messenger 可 以 提供 为 来 自 服 务 用 户 方 的 Message 目标 ， 因 此 可 以 相对 容 
务 地 实现 数据 交换 。 另外， 由 于 过 程 要 进行 排队 ， 因 此 它 具 有 “线程 安全 ”的 特性 。 
每 个 过 程 不 可 能 并 行 ， 但 根据 产品 的 要 求 ， 它 也 可 以 作为 选项 来 选择 ， 来 简化 实 

Ho 在 用 户 端 ， 服 务 由 意图 指定 ， 通 过 bindservice 调用 ， 有 具体 实现 示例 请 参 
见 “4.4.1.4 创建 /使 用 内 部 服务 ”。 


安全 检查 需要 在 onBind 或 Message Handler 中 进行 ， 但 不 能 用 于 伙伴 服务 ， 
因为 无 法 获取 来 源 的 包 名 称 。 


AIDL 绑 定 类 型 


这 是 一 种 方法 ， 通 过 使 用 AIDL 系统 实现 与 服务 的 链接 。 接口 通过 AIDL 定义 ， 并 
将 服务 拥有 的 特性 提供 为 方法 。 另外， 回调 也 可 以 通过 在 用 户 端 实现 由 AIDL 定义 
的 接口 来 实现 ， 多 线程 调用 是 可 能 的 ， 但 有 必要 在 服务 端 明 确实 现 互 上 斥 。 

用 户 端 可 以 通过 指定 意图 并 使 用 bindService 来 调用 服务 。 具体 实现 示例 请 参 

考 “4.4.1.3 创建 /使 用 伙伴 服务 ”。 

安全 性 检查 必须 在 onBind 中 为 内 部 服务 执行 ， 以 及 由 AIDL 为 伙伴 服务 定义 的 接 
口 的 每 种 方法 执行 。 

这 可 以 用 于 本 指南 中 描述 的 所 有 安全 类 型 的 服务 。 


~ 


4.5 使 用 SQLite 


通过 使 用 SQLite 创建 /操作 数据 库 时 ， 在 安全 性 方面 有 一 些 敬告。 要 点 是 合理 设置 
数据 库 文 件 的 访问 权限 ， 以 及 SQL 注入 的 对 策 。 允 许 从 外 部 直接 读 取 / 写 入 数据 库 
文件 (在 多 个 应 用 程序 之 间 共 享 ) 的 数据 库 不 在 此 处 ， 假 设 在 内 容 供 应 器 的 后 端 和 
应 用 本 身 中 使 用 该 数据 库 。 另 外 ， 在 处 理 不 太 多 敏感 信息 的 情况 下 ， 建 议 采 取 下 述 
对 策 ， 尽 管 这 里 可 以 处 理 一 定 程度 的 敏感 信息 。 


4.5.1 示例 代码 


4.5.1.1 创建 /操作 数据 库 


在 Android 应 用 中 处 理 数 据 库 时 ， 可 以 通过 使 用 SQLiteOpenHelper [10] 来 实现 
数据 库 文件 的 适当 安排 和 访问 权限 设置 (拒绝 其 他 应 用 访问 的 设置 ) 。 下 面 是 一 个 
简单 的 应 用 示例 ， 它 在 启动 时 创建 数据 库 ， 并 通过 Ul 执行 搜索 /添加 /更 改 /删除 数 
据 。 示例 代码 完成 了 SQL 注入 的 防范 ， 来 避免 来 自 外 部 的 输入 执行 不 正确 的 

SQL ° 








$ Information of User-7 





Figure 4.5-1 
1) SQLiteOpenHelper 应 该 用 于 创建 数据 库 。 
2) 使 用 占 位 符 。 
3) 根据 应 用 要 求 验证 输入 值 。 
SampleDbOpenHelper.java 


package org.jssec.android.sqlite; 


import android.content.Context; 

import android.database.SQLException; 

import android.database.sqlite.SQLiteDatabase; 
import android.database.sqlite.SQLiteOpenHelper; 
import android.util.Log; 

import android.widget.Toast; 


public class SampleDbOpenHelper extends SQLiteOpenHelper { 


private SQLiteDatabase mSampleDb; //Database to store the da 
ta to be handled 


public static SampleDbOpenHelper newHelper(Context context) 
{ 
//*** POINT 1 *** SQLiteOpenHelper should be used for da 
tabase creation. 
return new SampleDbOpenHelper (context); 


} 


public SQLiteDatabase getDb() ( 
return mSampleDb; 
} 


//Open DB by Writable mode 
public void openDatabaseWithHelper() { 
Ery 4 
if (mSampleDb != null && mSampleDb.isOpen()) { 
if (!mSampleDb.isReadOnly())// Already opened by 
writable mode 
return; 
mSampleDb.close(); 


} 
mSampleDb = getWritableDatabase(); //It's opened her 


} catch (SQLException e) { 
//In case fail to construct database, output to log 
Log.e(mContext.getClass().toString(), mContext.getSt 
ring(R.string.DATABASE OPEN ERROR MESSAGE)); 
Toast.makeText(mContext, R.string.DATABASE OPEN ERRO 
R MESSAGE, Toast.LENGTH LONG).show(); 


} 
} 
//Open DB by ReadOnly mode. 
public void openDatabaseReadOnly() { 
try 4 
if (mSampleDb != null && mSampleDb.isOpen()) { 
if (mSampleDb.isReadOnly())// Already opened by 


ReadOnly. 
return; 


mSampleDb.close(); 


SQLiteDatabase.openDatabase(mContext.getDatabasePath 
(CommonData.DBFILE_NAME).getPath(), null, SQLiteDatabase.OPEN_RE 
ADONLY ) ; 

) catch (SQLException e) ( 
//In case failed to construct database, output to log 


Log.e(mContext.getClass().toString(), mContext.getSt 
ring(R.string.DATABASE OPEN ERROR MESSAGE)); 

Toast.makeText(mContext, R.string.DATABASE OPEN ERRO 
R MESSAGE, Toast.LENGTH LONG).show(); 


} 
} 


//Database Close 
public void closeDatabase() { 
Eny 4 
if (mSampleDb != null && mSampleDb.isOpen()) { 
mSampleDb.close(); 
} 
} catch (SQLException e) { 
//In case failed to construct database, output to log 


Log.e(mContext.getClass().toString(), mContext.getSt 
ring(R.string.DATABASE_CLOSE_ERROR_MESSAGE ) ); 

Toast.makeText(mContext, R.string.DATABASE CLOSE ERR 
OR MESSAGE, Toast.LENGTH LONG).show(); 


} 
} 


//Remember Context 
private Context mContext; 
//Table creation command 
private static final String CREATE_TABLE_COMMANDS 
= "CREATE TABLE " + CommonData.TABLE_NAME + " (" 
+ " id INTEGER PRIMARY KEY AUTOINCREMENT, " 
+ "idno INTEGER UNIQUE, " 
+ "name VARCHAR(" + CommonData.TEXT DATA LENGTH MAX + ") 
NOT NULL, " 
+ "info VARCHAR(" + CommonData.TEXT DATA LENGTH MAX + ")" 


4 Pas 


public SampleDbOpenHelper(Context context) ( 
super(context, CommonData.DBFILE NAME, null, CommonData. 
DB VERSION); 
mContext - context; 
} 


@Override 
public void onCreate(SQLiteDatabase db) { 


Cry sf 


db.execSQL(CREATE_TABLE_COMMANDS); //Execute DB cons 
truction command 
} catch (SQLException e) { 
//In case failed to construct database, output to log 


Log.e(this.getClass().toString(), mContext.getString 
(R.string.DATABASE CREATE ERROR MESSAGE)); 


} 
} 


@Override 
public void onUpgrade(SQLiteDatabase argO, int argi, int arg 
20m 
// It's to be executed when database version up. Write p 
rocesses like data transition. 


j 


B|cc—— —————————————— ef ei 
DataSearchTask.java (SQLite 数据 库 项 目 ) 


package org.jssec.android.sqlite.task; 


import org.jssec.android.sqlite.CommonData; 
import org.jssec.android.sqlite.DataValidator; 
import org.jssec.android.sqlite.MainActivity; 
import org.jssec.android.sqlite.R; 

import android.database.Cursor; 

import android.database.SQLException; 

import android.database.sqlite.SQLiteDatabase; 
import android.os.AsyncTask; 

import android.util.Log; 


//Data search task 
public class DataSearchTask extends AsyncTask«String, Void, Curs 
or» ( 


private MainActivity mActivity; 
private SQLiteDatabase mSampleDB; 


public DataSearchTask(SQLiteDatabase db, MainActivity activi 
ty) 1 


mSampleDB - db; 
mActivity - activity; 
} 
@Override 
protected Cursor doInBackground(String... params) { 


String idno = params[0]; 
String name = params[1]; 
String info = params[2]; 


String cols[] = f£" xd", "rdno"."name","info"; 
Cursor cur; 
//*** POINT 3 *** validate the input value according the 
application requirements. 
if (!DataValidator.validateData(idno, name, info)){ 
return null; 


//When all parameters are null, execute all search 
if ((idno == null || idno.length() == 0) && 
(name == null || name.length() == 0) && 
(info == null || info.length() == 0) ) { 
tny 
cur = mSampleDB.query(CommonData.TABLE NAME, col 
Sy MUL AU nul nw. Ma S 
} catch (SQLException e) { 
Log.e(DataSearchTask.class.toString(), mActivity 
.getString(R.string.SEARCHING ERROR MESSAGE)); 
return null; 
} 


return cur; 
} 
//When No is specified, execute searching by No 
if (idno != null && idno.length() > 0) { 
String selectionArgs[] = {idno}; 
try { 
//*** POINT 2 *** Use place holder. 
cur = mSampleDB.query(CommonData.TABLE NAME, col 
s, "idno = ?", selectionArgs, null, null, null); 
} catch (SQLException e) { 
Log.e(DataSearchTask.class.toString(), mActivity 
.getString(R.string.SEARCHING ERROR MESSAGE)); 
return null; 
} 


return cur; 
} 
//When Name is specified, execute perfect match search b 
y Name 
if (name != null && name.length() > 0) { 
String selectionArgs[] = {name}; 
En 
//*** POINT 2 *** Use place holder. 
cur = mSampleDB.query(CommonData.TABLE NAME, col 
s, "name - ?", selectionArgs, null, null, null); 
) catch (SQLException e) ( 
Log.e(DataSearchTask.class.toString(), mActivity 
.getString(R.string.SEARCHING ERROR MESSAGE)); 
return null; 
} 


return cur; 
} 
//Other than above, execute partly match searching with 
the condition of info. 
String argString = info.replaceAll("Q", "QQ"); //Escape 


$ in info which was received as input. 
argString = argString.replaceAll("%", "@%"); //Escape % 
in info which was received as input. 
argString = argString.replaceAll("_", "@_"); //Escape _ 
in info which was received as input. 
String selectionArgs[] = {argString}; 
try t 
//*** POINT 2 *** Use place holder. 
cur - mSampleDB.query(CommonData.TABLE NAME, cols, " 
info LIKE '%' || ? || '%' ESCAPE 'Q'", selectionArgs, null, null 
zc nud 
) catch (SQLException e) { 
Log.e(DataSearchTask.class.toString(), mActivity.get 
String(R.string.SEARCHING ERROR MESSAGE)); 
return null; 


} 

return cur; 
} 
@Override 


protected void onPostExecute(Cursor resultCur) { 
mActivity.updateCursor(resultCur); 
} 


DataValidator.java 


package org.jssec.android.sqlite; 
public class DataValidator { 


//Nalidate the Input value 
//validate numeric characters 
public static boolean validateNo(String idno) ( 
//null and blank are OK 
if (idno == null || idno.length() == 0) ( 
return true; 
} 


//Nalidate that it's numeric character. 
Ery A 
if (!idno.matches("[1-9][0-9]*")) { 
//Error if it's not numeric value 
return false; 


} catch (NullPointerException e) { 
//Detected an error 
return false; 


} 


retúrn true: 


4.5.1 示例 代码 


// Validate the length of a character string 
public static boolean validateLength(String str, int max_len 
gth) { 
//null and blank are OK 
if (str == null || str.length() == 0) { 
return true; 


//Nalidate the length of a character string is less than 


MAX 
try { 
if (str.length() > max_length) { 
//When it's longer than MAX, error 
return false; 
} catch (NullPointerException e) { 
//Bug 
return false; 
} 
return true; 
} 


// Validate the Input value 
public static boolean validateData(String idno, String name, 
Strong anto) 
if (!validateNo(idno)) ( 
return false; 


if (!validateLength(name, CommonData.TEXT DATA LENGTH MA 
X)) { 


return false; 
jelse if(!validateLength(info, CommonData.TEXT DATA LENG 
TH MAX)) { 
return false; 


j 


return true; 


223 


4.5.2 规则 书 


使 用 SQLite 时 ， 遵 循 以 下 规则 : 


4.5.2.1 正确 设置 DB 文件 位 置 和 访问 权限 (必需 ) 


考虑 到 DB 文件 数据 的 保护 ，DB 文件 位 置 和 访问 权限 设置 是 需要 一 起 考虑 的 非常 
重要 的 因素 。 例 如 ， 即 使 正确 设置 了 文件 访问 权 ， 如 果 DB 文件 位 于 无 法 设置 访问 
权 的 位 置 ， 则 任何 人 可 以 访问 DB 文件 ， 例 如，SD 卡 。 如 果 它 位 于 应 用 目录 中 ， 
如 果 访 问 权 限 设置 不 正确 ， 它 最 终 将 允许 意外 访问 。 以 下 是 正确 分 配 和 访问 权限 设 
置 的 一 些 要 点 ， 以 及 实现 它们 的 方法 。 为 了 保护 数据 库 文件 (数据) ， 对 于 位 置 和 
访问 权限 设置 ， 需 要 执行 以 下 两 点 。 


1) & 


位 于 可 以 由 Context#getDatabasePath(String name) 获取 的 文件 路 径 ， 或 者 在 
某 些 情况 下 ， 可 以 由 Context#getFilesDir11 获取 的 目录 。 


2) 访问 权限 
设置 为 MODE_PRIVATE (只 能 由 创建 文件 的 应 用 访问 ) 模式 。 


通过 执行 以 下 2 点 ， 即 可 创建 其 他 应 用 无 法 访问 的 DB 文件 。 以 下 是 执行 它们 的 一 
些 方法 。 


1. 使 用 SQLiteOpenHelper 
2. 使 用 Context#openOrCreateDatabase 


创建 DB 文件 时 ， 可 以 使 用 SQLiteDatabase#openOrCreateDatabase ° 但 是 ， 
使 用 此 方法 时 ， 可 以 在 某 些 Android 智能 手机 设备 中 创建 可 从 其 他 应 用 读 取 的 DB 
文件 。 所 以 建议 避免 这 种 方法 ， 并 使 用 其 他 方法 。 上 述 量 种 方法 的 每 个 特征 如 下 
[11] 


[11] 这 两 种 方法 都 提供 了 (6) 目录 下 的 路 径 ， 只 能 由 指定 的 应 用 读 取 和 号 
Ao 


使 用 SQLiteOpenHelper 


当 使 用 SQLiteOpenHelper 时 ， 开 发 人 员 不 需要 担心 很 多 事情 。 创建 一 个 

从 SQLiteOpenHelper 派生 的 类 ， 并 为 构造 器 的 参数 指定 DB 名 称 (用 于 文件 名 ) 

[12] ， 然 后 满足 上 述 安全 要 求 的 DB 文件 会 自动 创建 。 
[12] (未 在 Android 参考 中 记录 ) 由 于 可 以 在 SQLiteOpenHelper 实现 中 ， 
将 完整 文件 路 径 指定 为 数据 库 名 称 ， 因 此 需要 注意 无 意 中 指 定 不 能 控制 访问 权 
限 的 地 方 (路 径 ) (例如 SD 卡 )。 

对 于 如 何 使 用 ， 请 参阅 “4.5.1.1 创建 /操作 数据 库 " 的 具体 使 用 方法 。 


使 用 Context#openOrCreateDatabase 


使 用 SO LUE ou 方法 创建 数据 库 时 ， 文 件 访 问 权 应 由 选项 
指定 ， 在 这 种 情况 下 ， 请 明确 指定 MODE_PRIVATE 。 


对 于 文件 安排 ， 数 据 库 名 称 (用 于 文件 名 ) 可 以 像 SQLiteOpenHelper 一 样 指 

定 ， 文 件 将 在 满足 上 述 安 全 要 求 的 文件 路 径 中 自动 创建 。 但 是 ， 也 可 以 指定 完整 路 
和 对， 因此 有 必要 注意 指定 SD 卡 时 ， 即 使 指定 MODE PRIVATE ， 其 他 应 用 也 可 以 
访问 。 


MainActivity.java ( 显 式 设 定 DB 访问 权 的 示例 ) 


public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
//Construct database 


EI 
//Create DB by setting MODE PRIVATE 


db = Context.openOrCreateDatabase("Sample.db", MODE PRIV 
ATE null); 
) catch (SQLException e) { 
//In case failed to construct DB, log output 
Log.e(this.getClass().toString(), getString(R.string.DAT 
ABASE OPEN ERROR MESSAGE)); 
return; 


//Omit other initial process 


访问 权限 有 三 种 可 能 的 设 

置 : MODE PRIVATE ， MODE WORLD READABLE 和 MODE WORLD WRITEABLE ° 
些 常量 可 以 由 或 运算 符 一 起 指定 。 但 是 ， 除 API PRIVATE 之 外 的 所 有 设置 ， 都 

将 在 API 级 别 17 和 更 高 版 本 中 被 弃 用 ， 并 且 会 在 API 24 和 更 高 版 本 中 导致 

CARY, o 即使 对 于 API 级 别 15 及 更 早 版 本 的 应 用 ， 通 常 最 好 不 要 使 用 这 些 标志 

[13] ° 


[13] MODE_WORLD_READABLE 和 MODE_WORLD_WRITEABLE 的 更 多 信息 ， 以 及 
其 使 用 的 注意 事项 ， 请 参见 “4.6.3.2 访问 目录 的 权限 设置 ”。 


e MODE PRIVATE 只 有 创建 者 应 用 可 以 读 写 
e MODE_WORLD_READABLE 创建 者 应 用 可 以 读 写 ， 其 他 人 只 能 读 
e MODE_WORLD_WRITEABLE 创建 者 应 用 可 以 读 写 ， 其 他 人 只 能 写 


4.5.2.2 与 其 它 应 用 共享 DB 数据 时 ， 将 内 容 供 应 器 用 于 访问 控制 
(必需 
与 其 他 应 用 共享 DB 数据 的 方法 是 ， 将 DB 文件 创建 


为 WORLD READABLE ^ WORLD WRITEABLE ， 以 便 其 他 应 用 直接 访问 。 但 是 ， 此 
方法 不 能 限制 访问 或 操作 数据 库 的 应 用 ， 因 此 数据 可 以 由 非 预 期 的 一 方 (应 用 ) 读 


或 写 。 因 此 ， 可 以 认为 数据 的 机 密 性 或 一 致 性 方面 可 能 会 出 现 一 些 问 题 ， 或 者 可 能 
成 为 恶意 软件 的 攻击 目标 。 


et AM eu E 
内 容 供 应 器 存在 一 些 优 点 ， 不 仅 从 安全 的 角度 来 实现 对 DB 的 访问 控制 ， 而 且 
从 设计 角度 来 看 DB 纲要 告 构 可 以 隐藏 到 内 容 中 。 


4.5.2.3 在 DB 操作 期 间 处 理 变量 参数 时 ， 必 需 使 用 占 位 符 (b 
需 ) 


在 防止 SQL 注入 的 意义 上 ， 将 任意 输入 值 并 入 SQL 语 负 时， 应 使 用 占 位 符 。 下面 
有 两 个 方法 用 占 位 符 执 行 SQL。 


1. 使 用 SQLiteDatabase#compileStatement() ， 获 取 SQLiteStatement ， 
然后 使 用 sQLitestatementé&bindString() 或 bindLong() 等 ， 将 参数 放置 
到 占 位 符 之 后 。 

2. 在 SQLiteDatabese 类 上 调 
用 execSQL() ， insert() ， update() ， delete() > query() ^ rav 
和 replace() 时 ， 使 用 具有 占 位 符 的 SQL 语句。 


另外 ， 通 过 使 用 SQLiteDatabase#compileStatement() 执行 SELECT 命令 时 ， 
存在 “ 仅 获取 第 一 个 元 素 作 为 SELECT 命令 的 结果 "的 限制 ， 所 以 用 法 是 有 限 的 。 


在 任何 一 种 方法 中 ， 提 供给 占 位 符 的 数据 内 容 最 好 根据 应 用 要 求 事 先 检 查 。 以 下 是 
每 种 方法 的 进一步 解释 。 


使 用 SQLiteDatabase#compileStatement() 
数据 以 下 列 步骤 提供 给 占 位 符 : 


1. 使 用 SQLiteDatabase#compileStatement() 获取 包含 占 位 符 的 SQL 语句 ， 
如 SQLiteStatement ° 

2. 使 用 bindLong() 和 bindString() 方法 为 创建 的 SQLiteStatement 对 象 
设置 占 位 符 。 

3. 通过 ExecSQLiteStatement 对 象 的 execute() 方法 执行 SQL ° 


DatalnsertTask.java ( 占 位 符 的 用 例 ) 


//Adding data task 
public class DataInsertTask extends AsyncTask<String, Void, Void 


> 


private MainActivity mActivity; 
private SQLiteDatabase mSampleDB; 


public DataInsertTask(SQLiteDatabase db, MainActivity activi 
ty) { 


mSampleDB = db; 
mActivity = activity; 
J 
QOverride 


protected Void doInBackground(String... params) { 

String idno = params[0]; 

String name params[1]; 

String info params[2]; 

//*** POINT 3 *** Validate the input value according the 

application requirements. 
if (!DataValidator.validateData(idno, name, info)) { 
return null; 


j 
// Adding data task 


//*** POINT 2 *** Use place holder 
String commandString = "INSERT INTO " + CommonData.TABLE 
_NAME + " (idno, name, info) VALUES (?, ?, ?)"; 
SQLiteStatement sqlStmt - mSampleDB.compileStatement(com 
mandString); 
sqlStmt.bindString(i, idno); 
sqlStmt.bindString(2, name); 
sqlStmt.bindString(3, info); 
try { 
sqlStmt.executeInsert(); 
) catch (SQLException e) ( 
Log.e(DataInsertTask.class.toString(), mActivity.get 
String(R.string.UPDATING ERROR MESSAGE)); 
} finally t 
sqlStmt.close(); 


} 

return null; 
} 
[...] 


这 是 一 种 类 型 ， 它 预先 创建 作为 对 象 执 行 的 SQL 语句 ， 并 将 参数 分 配给 它 。 执行 
的 过 程 是 国定 的 ， 所 以 没有 发 生 SQL 注入 的 可 能 。 另外 ， 通 过 重 
用 sQLiteStatement 对 象 可 以 提高 流程 效率 。 


使 用 SQLiteDatabase 提供 的 每 个 方法 : 


SQLiteDatabase 提供 了 两 种 类 型 的 数据 库 操作 方法 。 — APRN SQL> A 
一 种 是 不 使 用 SQL 184) » 使 用 SQL 语句 的 方法 
是 SQLiteDatabase#execSQL() / rawQuery() ， 它 以 以 下 步骤 执行 


1) 准备 包含 占 位 符 的 SQL 78 4 © 
2) 创建 要 分 配给 占 位 符 的 数据 。 
3) 传递 SQL 语句 和 数据 作为 参数 ， 并 为 每 个 过 程 执行 一 个 方法 。 


另 一 方 
面 ， SQLiteDatabase#insert()/update()/delete()/query()/replace() X 
不 使 用 SQL 语 名 的 方法 。 当 使 用 它们 时 ， 数 据 应 该 按照 以 下 步骤 来 准备 。 


1) 如 果 有 数据 要 插入 /更 新 到 数据 库 ， 请 注册 到 ContentValues 。 


2) 传递 ContentValues 作为 参数 ， 并 为 每 个 过 程 执 行 一 个 方法 ( 例 
如 ， SQLiteDatabase#insert() ) 


SQLiteDatabase#insert() (每 个 过 程 的 方法 的 用 例 ) 


private SQLiteDatabase mSampleDB; 
private void addUserData(String idno, String name, String info) 


//Nalidity check of the value(Type, range), escape process 
if (!validateInsertData(idno, name, info)) { 
/7If failed to pass the validation, log output 
Log.e(this.getClass().toString(), getString(R.string.VAL 
IDATION ERROR MESSAGE)); 
return 
} 


//Prepare data to insert 
ContentValues insertValues = new ContentValues(); 
insertValues.put("idno", idno); 
insertValues.put("name", name); 
insertValues.put("info", info); 
//Execute Inser 
try { 
mSampleDb.insert("SampleTable", null, insertValues); 
} catch (SQLException e) { 
Log.e(this.getClass().toString(), getString(R.string.DB_ 
INSERT ERROR MESSAGE)); 
Rebun: 
} 


在 这 个 例子 中 ，SQL 命令 不 是 直接 写 入 ， 而 是 使 用 SQLiteDatabase 提供 的 插入 
方法 。 SQL 命令 没有 直接 使 用 ， 所 以 在 这 种 方法 中 也 没有 SQL 注入 的 可 能 。 


4.5.2 规则 书 
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4.5.3 高 级 话题 


4.5.3.1 在 SQL 语句 的 LIKE 断言 中 使 用 通配符 时 ， 应 该 实现 转 
义 过 程 

当 所 使 用 的 字符 串 包 含 LIKE 断言 的 通配符 ( % ，  ) ， 作 为 占 位 符 的 输入 值 
时 ， 除 非 处 理 正确 ， 否 则 它 将 用 作 通 配 符 ， 因 此 必须 根据 需要 事先 转 义 处 理 。 通 配 
符 应 该 用 作 单 个 字符 ( % 或 +) 时 ， 需 要 转 义 处 理 。 

根据 下 面 的 示例 代码 ， 使 用 ESCAPE 子 名 执行 实际 的 转 义 过 程 。 


使 用 LIKE 情况 下 的 ESCAPE 过 程 : 


//Data search task 
public class DataSearchTask extends AsyncTask<String, Void, Curs 
or> { 


private MainActivity mActivity; 
private SQLiteDatabase mSampleDB; 
private ProgressDialog mProgressDialog; 


public DataSearchTask(SQLiteDatabase db, MainActivity activi 
ty) { 


mSampleDB = db; 
mActivity = activity; 
} 
@Override 
protected Cursor doInBackground(String... params) { 
String idno = params[0]; 
String name = params[1]; 
String info = params[2]; 
String cols[] = {"“_id", “dno”, name", LINTON, 
Cursor cur; 
Ee 
//Execute like search(partly match) with the condition o 
Forte 


//Point:Escape process should be performed on characters 
which is applied to wild card 

String argString = info.replaceAll("Q", "QQ"); // Escape 
$ in info which was received as input 

argString = argString.replaceAll("%", "@%"); // Escape % 
in info which was received as input 

argString = argString.replaceAll(" ", "Q "); // Escape _ 
in info which was received as input 

String selectionArgs[] = (argString); 

try { 


//Point:Use place holder 
cur = mSampleDB.query("SampleTable", cols, "info LIK 
E ™%" || 2 || *9' ESCAPE “@'", selectionArgs, null, null, null): 
} catch (SQLException e) { 
Toast .makeText(mActivity, R.string.SERCHING ERROR ME 
SSAGE, Toast.LENGTH LONG).show(); 
return null; 


} 

return cur; 
} 
@Override 


protected void onPostExecute(Cursor resultCur) { 
mProgressDialog.dismiss(); 
mActivity.updateCursor(resultCur); 


4.5.3.2 不 能 用 占 位 符 时 ， 在 SQL 命令 中 使 用 外 部 输入 


当 执 行 SQL 语句 ， 并 且 过 程 目标 是 DB 对 象 ， 如 表 的 创建 /删除 时 ， 占 位 符 不 能 
于 表 名 的 值 。 基 本 上 ， 数 据 库 不 应 该 使 用 外 部 输入 的 任意 字符 串 来 设计 ， 以 防 占 位 
符 不 能 用 于 该 值 。 


当 由 于 规范 或 特性 的 限制 ， 而 无 法 使 用 占 位 符 时 ， 无 论 输 入 值 是 否 危 险 ， 都 应 在 执 
行 前 进行 验证 ， 并 且 需 要 执行 必要 的 过 程 。 


基本 上 ， 应 该 执行 : 


1. 使 用 字符 串 和 参数 时 ， 应 该 对 于 字符 进行 转 义 或 引用 处 理 。 
2. 使 用 数字 值 参 数 时 ， 请 确认 不 包含 数值 以 外 的 字符 。 
3. 用 作 标 识 符 或 命令 时 ， 请 验证 是 否 包 含 不 能 使 用 的 字符 以 及 (1)。 


参考 : http://www.ipa.go.jp/security/vuln/documents/website_security sql.pdf (日 
x) 


4.5.3.3 采取 数据 库 非 预期 覆盖 的 对 策 


通过 SQLiteOpenHelper#getReadableDatabase 或 getWriteableDatabase # 
取 数 据 库 实例 时 ， 通 过 使 用 任 一 方法 [14]，DB 将 以 可 读 / 可 写 状 态 打开 。 另外 ， 

与 Context#openOrCreateDatabase ， SQLiteDatabase#openOrCreateDatabas 
相同 。 这 意味 着 DB 的 内 容 可 能 会 被 应 用 操作 ， 或 实现 中 的 缺陷 意外 覆盖 。 基本 
上 ， 它 可 以 由 应 用 规范 和 实现 范围 来 支持 ， 但 是 当 实 现 仅 需要 读 取 功能 的 功能 (如 
应 用 的 搜索 功能 等 ) 时 ， 通 过 只 读 方式 打开 数据 库 ， 可 能 会 简化 设计 或 检查 ， 从 而 
提高 应 用 质量 ， 因 此 建议 视 情况 而 定 。 


[14] getReableDatabase() 和 getwritableDatabase 可 能 返回 同一 个 对 
象 。 它 的 规范 是 ， 如 果 可 写 对 象 由 于 磁盘 满 了 而 无 法 生成 ， 它 将 返回 只 读 对 
Ro ( getwritableDatabase() 会 在 磁盘 满 了 的 情况 下 产生 错误 ) 


特别 是 ， 通 过 对 SQLiteDatabase#openDatabase 指定 OPEN READONLY 打开 数 
JE E. o 


以 只 读 打 开 数 据 库 : 


eed 
// Open DB(DB should be created in advance) 


SQLiteDatabase db 
= SQLiteDatabase.openDatabase(SQLiteDatabase.getDatabasePath( 
"Sample.db"), null, OPEN READONLY); 


4] — 





Æ : http://developer.android.com/reference/android/database/sqlite/SQLiteOpenH 
elper.html#getReadableDatabase() 


4.5.3.4 根据 应 用 需求 ， 验 证 DB 的 输入 输出 数据 的 有 效 性 


SQLite 是 类 型 容错 的 数据 库 ， 它 可 以 将 字符 类 型 数据 存储 到 在 DB 中 声明 为 整数 的 
列 中 。 对 于 数据 库 中 的 数据 ， 包 括 数值 类 型 的 所 有 数据 都 作为 纯 文本 的 字符 数据 存 
储 在 数据 库 中 。 所 以 搜索 字符 串 类 型 ， 可 以 对 整数 类 型 的 列 执行 

( LIKE '%123%' 等 ) 。 此 外 ， 由 于 在 某 些 情况 下 ， 可 以 输入 超过 限制 的 数据 ， 

所 以 对 SQLite 中 的 值 (有效 性 验证 ) 的 限制 是 不 可 信 的 ， 例 如 VARCHAR(100) ° 
因此 ， 使 用 SQLite 的 应 用 需要 非常 小 心 DB 的 这 种 特性 ， 并 且 有 必要 根据 应 用 需 

求 采 取 措 施 ， 不 要 将 意外 的 数据 存储 到 数据 库 ， 或 不 要 获取 意外 的 数据 。 对 策 是 以 
下 两 点 。 


1. 在 数据 库 中 存储 数据 时 ， 请 确认 类 型 和 长 度 是 否 匹 配 。 
2. 从 数据 库 中 获取 值 时 ， 验 证 数据 是 否 超出 假定 的 类 型 和 长 度 。 


下 面 是 个 代码 示例 ， 它 验证 了 输入 值 是 否 大 于 1。 


public class MainActivity extends Activity ( 


[Eus 


//Process for adding 
private void addUserData(String idno, String name, String in 
fo) { 
//Check for No 
if (!validateNo(idno, CommonData.REQUEST_NEW)) { 
return; 
} 


//Inserting data process 
DataInsertTask task = new DataInsertTask(mSampleDbyhis); 
task.execute(idno, name, info); 


} 
(es 


private boolean validateNo(String idno, int request) { 
if (idno == null || idno.length() == 0) { 
if (request == CommonData.REQUEST_SEARCH) { 
//When search process, unspecified is considered 


as OK. 
return true; 
) else { 
//Other than search process, null and blank are 
error. 


Toast.makeText(this, R.string.IDNO EMPTY MESSAGE 
, Toast.LENGTH LONG).show( ); 
return false; 
} 
} 


//Nerify that it's numeric character 
tnya 
// Value which is more than 1 
if (!idno.matches("[1-9][0-9]*")) { 
//In case of not numeric character, error 
Toast.makeText(this, R.string.IDNO NOT NUMERIC M 
ESSAGE, Toast.LENGTH LONG).show(); 
return false; 


) catch (NullPointerException e) ( 
//It never happen in this case 
return false; 


} 

return true; 
} 
[...] 


NO 


4.5.3.5 考虑 -- 储存 在 数据 库 中 的 数据 
在 SQLite 视线 中 ， 将 数据 储存 到 文件 是 这 样 : 


e 所 有 包含 数值 类 型 的 数据 ， 都 将 作为 纯 文本 的 字符 数据 存储 在 DB 文件 中 。 

e 执行 DB 的 数据 删除 时 ， 数 据 本 身 不 会 从 DB 文件 中 删除 。 (只 添加 删除 标 
ib») 

e 更 新 数据 时 ， 更 新 前 的 数据 未 被 删除 ， 仍 保留 在 数据 库 文 件 中 。 


因此 ，“"“ 必 须 " 删 除 的 信息 仍 可 能 保留 在 DB 文件 中 。 即使 在 这 种 情况 下 ， 也 要 根据 
本 指导 手册 采取 对 策 ， 并 且 启 用 Android 安全 功能 时 ， 数 据 /文件 可 能 不 会 被 第 三 方 
直接 访问 ， 包 括 其 他 应 用 。 但 考虑 到 通过 绕 过 Android 的 保护 系统 (如 root 权 
FR) 选取 文件 的 情况 ， 如 果 存 储 了 对 业务 有 巨大 影响 的 数据 ， 则 应 考虑 不 依赖 于 
Android 保护 系统 的 数据 保护 。 


由 于 上 述 原因 ， 需 要 保护 的 重要 数据 ， 不 应 该 存储 在 SQLite 数据 库 中 ， 即 使 设备 
取得 了 root 权限 。 在 需要 存储 重要 数据 的 情况 下 ， 有 必要 采取 对 策 或 加 密 整 个 数 
据 库 。 


当 需 要 加 密 时 ， 有 许多 问题 超出 了 本 指南 的 范围 ， 比 如 处 理 用 于 加 密 或 代码 混淆 的 
密 钥 ， 所 以 目前 建议 ， 在 开发 处 理 数据 的 应 用 ， 数 据 对 业务 有 巨大 影响 时 咨询 专 
Re 请 参考 "4.5.3.6 [参考 ] 加 密 SQLite 数据 库 (Android SQLCipher ) ”， 这 里 介 
绍 加 密 数 据 库 的 库 。 


4.5.3.6 [参考 ] 加 密 SQLite 数据 库 (Android SQLCipher ) 


SQLCipher 是 为 数据 库 提供 透明 256 位 AES 加 密 的 SQLite 扩展 。 它 是 开源 的 
(BSD 许可 证 ) ， 由 Zetetic LLC 维护 /管理 。 在 移动 世界 中 ， SQLCipher 广泛 
用 于 诺基亚 / QT * E89 iOS e 


Android 项 目的 SQLCipher 4 Æ X44 Android 环境 中 的 SQLite 数据 库 的 标准 集成 
mÈ o ÑA SQLCipher 创建 标准 SQLite 的 API， 开 发 人 员 可 以 使 用 加 密 的 数 
据 库 和 平常 一 样 的 编码 。 

参考 : https://guardianproject.info/code/sqlcipher/ ° 

如 何 使 用 : 

应 用 开发 者 可 以 通过 以 下 三 个 步骤 使 用 SQLCipher ° 


1. 在 应 用 的 lib 目录 中 找 
到 sqlcipher.jar * libdatabase_sqlcipher.so ， libsqlcipher_andr 
和 libstlport_shared.so 。 

2. 对 于 所 有 源 文 件 ， 将 所 有 android.database.sqlite.* 更 改 
A info.guardianproject.database.sqlite.* ， 它 们 由 import 指定 。 
另外 ， android.database.Cursor 可 以 照 原 样 使 用 。 

3. 在 onCreate() 中 初始 化 数据 库 ， 打 开 数 据 库 时 设置 密码 。 


简单 的 代码 示例 : 


Sar Sate den tenner // First, Initialize library by u 
ing context. 

e ice getWRITEABLEDatabase(passwoed) : // Parameter is 

password(Suppose that it's string type and It's got in a secure 


在 撰写 本 文 时 ，Android 版 SQLCipher Æ 1.1.0 版 ， 现 在 正在 开发 2.0.0 版 ， 现 在 
已 经 公布 了 RC4。 就 过 去 在 Android 中 的 使 用 和 API 的 稳定 性 而 言 ， 有 必要 稍 后 

进行 验证 ， 但 目前 还 可 以 看 做 SQLite 的 加 密 解 决 方案 ， 它 可 以 在 Android 中 使 

用 o 


库 的 结构 
下 列 SDK 中 包含 的 文件 是 使 用 SQLCipher 所 必须 的 。 
e assets/icudt46l.zip 2,252KB 


4% icudt46l.dat 不 存在 于 /system/usr/icu/ 下 及 其 早期 版 本 时 ， 这 是 必需 
的 。 当 找 不 到 icudt461.dat > Xt zip 需要 解压 缩 并 使 用 。 


e libs/armeabi/libdatabase sqlcipher.so 44KB 
e libs/armeabi/libsqlcipher_android.so 1,117KB 
e libs/armeabi/libstlport_shared.so 555KB 


本 地 库 ， 它 在 SQLCipher 首次 加 载 (调用 SQLiteDatabase#loadLibs() ) 时 被 
读 取 。 


e libs/commons-codec.jar 46KB 
e libs/guava-r09.jar 1,116KB 
e libs/sqlcipher.jar 102KB 


Java 库 调 用 本 地 库 。 sqlcipher.jar 是 主要 的 ， 其 它 的 由 sglcipher.jar 5l 
用 。 


总 共 大 约 5.12MB。 但 是 ， 当 icudt46l.zip 解压 时 ， 总 共 大 约 7MB ° 


4.6 4b XE SC t 


根据 Android 安全 设计 理念 ， 文 件 仅 用 于 信息 持久 化 和 临时 保存 (RA) ， 原 则 上 
它 应 该 是 私有 的 。 在 应 用 之 间 交 换 信息 不 应 该 直接 通过 文件 ， 而 应 该 通过 应 用 间 的 
连接 系统 (如 内 容 供 应 器 或 服务 ) 来 交换 。 通 过 使 用 此 功能 ， 可 以 实现 应 用 间 访 问 
控制 。 


由 于 无 法 在 SD 卡 等 外 部 存储 设备 上 执行 足够 的 访问 控制 ， 因 此 文件 应 限制 仅 在 必 
要 时 通过 功能 方式 使 用 ， 例 如 处 理 大 型 文件 ， 或 将 信息 传输 到 其 他 位 置 时 (PC 等 
F) 。 基 本 上 ， 包 含 敏 感 信 息 的 文件 不 应 保存 在 外 部 存储 设备 中 。 在 需要 将 敏感 
言 息 保存 在 外 部 设备 文件 中 的 情况 下 ， 需 要 采取 加 密 等 对 策 ， 但 这 里 没有 提 及 。 


4.6.1 示例 代码 


如 上 所 述 ， 文 件 原则 上 应 该 是 私有 的 。 但 是 ， 由 于 茶 些 原因 ， 有 时 文件 应 该 由 其 他 
应 用 直接 读 写 。 按照 安全 角度 分 类 和 比较 中 文件 类 型 如 表 4.6-1 所 示 。 它们 根据 文 
件 存储 位 置 或 其 他 应 用 的 访问 权限 分 为 四 类 。 下 面 展 示 了 每 个 文件 类 别 的 示例 代 
码 ， 并 在 其 中 添加 了 每 个 的 解释 。 


表 4.6-1 按照 安全 角度 的 文件 类 别 和 比较 


其 它 
ae | | se 
er 的 访 概述 

问 权 

限 
PAX | NA 应 用 目 (1) 只 能 在 应 用 中 读 写 ， (2) 可 以 处 理 敏感 
件 录 中 数据 ，(3) 文件 原则 上 应 该 是 这 个 类 型 
只 读 公 m 应 用 目 (1) 其 它 应 用 和 用 户 可 读 ，(2) TAARA 
共 文 件 2 KP 开 给 应 用 外 部 的 信息 
读 写 公 读 写 应 用 目 (1) 其 i 它 应 用 和 用 户 可 以 读 写 * (2) 从 安全 
共 文件 ae KP 和 应 用 设计 角度 来 看 ， 不 应 该 使 用 
外 部 存 
储 设 (1) 没有 访问 控制 (2) 其 它 应 用 和 用 户 总 
( 读 写 读 写 备 ， 例 是 可 以 读 写 或 删除 文件 ，(3) 应 该 以 最 小 需 


文件 ) n 求 使 用 ， (4) 可 以 处 理 很 大 的 文件 


4.6.1.1 使 用 私有 文件 


这 种 情况 下 使 用 的 文件 ， 只 能 在 同一 个 应 用 中 读 取 / 写 入 ， 并 且 这 是 使 用 文件 的 一 种 
非常 安全 的 方式 。 原则 上 ， 无 论 存 储 在 文件 中 的 信息 是 否 是 公开 的 ， 尽 可 能 使 用 私 
他 应 用 交换 必要 的 信息 时 ， 应 该 使 用 另 一 个 Android 系统 (内 容 供 


有 文件 ， 当 与 其 
LE? IRA) 来 完成 。 


X: 
1 


) 
) 
3) 
) 


文件 必须 在 应 用 目录 中 创建 

2) 文件 的 访问 权限 必须 设置 为 私有 模式 ， 以 免 其 他 应 用 使 用 。 
可 以 存储 敏感 信息 

4) 对 于 存储 在 文件 中 的 信息 ， 请 仔细 和 安全 地 处 理 文件 数据 。 


PrivateFileActivity.java 


package org. 
java. 
java. 
java. 
java. 
java. 
android. 
android. 
android. 
.Widget .TextView; 


import 
import 
import 
import 
import 
import 
import 
import 
import 
public 


android 
class PrivateFileActivity extends Activity { 

private TextView mFileView; 

private static final String FILE_NAME = "private_file.dat"; 


@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.file); 

mFileView = (TextView) findViewById(R.id.file view); 


j 


/ =x 


jssec.android.file.privatefile; 
io. 
io. 
io. 
io. 
io. 


File; 

FileInputStream; 
FileNotFoundException; 
FileOutputStream; 
IOException; 
app.Activity; 
os.Bundle; 

view. View; 


* Create file process 


* 


* @param view 


rA 


public void onCreateFileClick(View view) ( 
FileOutputStream fos - null; 


try 


i 
// 


ion directory. 


// 


*** POINT 1 *** Files must be created in applicat 


*** POINT 2 *** The access privilege of file must 


be set private mode in order not to be used by other applicatio 
ns. 
fos = openFileOutput(FILE NAME, MODE PRIVATE); 
// *** POINT 3 *** Sensitive information can be stor 
ed. 
// *** POINT 4 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
fos.write(new String("Not sensotive information (Fil 
e Activity)¥n").getBytes()); 
} catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
) catch (IOException e) ( 
android.util.Log.e("PrivateFileActivity", "failed to 
read file"); 
) finally { 
if (fos !- null) ( 
try 4 
fos.close(); 
) catch (IOException e) ( 
android.util.Log.e("PrivateFileActivity", "f 
ailed to close file"); 


j 
j 
} 
finish(); 
j 


fee 
* Read file process 
* @param view 
ig 
public void onReadFileClick(View view) { 
FileInputStream fis - null; 
Cru TT 
fis - openFileInput(FILE NAME); 
byte[] data - new byte[(int) fis.getChannel().size() 
l; 
fis.read(data); 
String str - new String(data); 
mFileView.setText(str); 
} catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
) catch (IOException e) ( 
android.util.Log.e("PrivateFileActivity", "failed to 
read file"); 
) finally ( 
if (fis !- null) ( 
thy A 
fis.close(); 
) catch (IOException e) ( 


android.util.Log.e("PrivateFileActivity", "f 


ailed to close file"); 


} 
} 


} 


JEE 

* Delete file process 

* @param view 

2 

public void onDeleteFileClick(View view) ( 
File file = new File(this.getFilesDir() + "/" + FILE NAM 


E); 
file.delete(); 
mFileView.setText(R.string.file view); 
} 
} 
PrivateUserActivity.java 


package org.jssec.android.file.privatefile; 


import java.io.FileInputStream; 
import java.io.FileNotFoundException; 
import java.io.FileOutputStream; 
import java.io.IOException; 

import android.app.Activity; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class PrivateUserActivity extends Activity { 


private TextView mFileView; 
private static final String FILE_NAME = "private_file.dat"; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.user); 
mFileView - (TextView) findViewById(R.id.file view); 

j 


private void callFileActivity() { 
Intent intent - new Intent(); 
intent.setClass(this, PrivateFileActivity.class); 
startActivity(intent); 


[pres 

* Call file Activity process 

* @param view 

st 

public void onCallFileActivityClick(View view) { 
callFileActivity(); 

j 


yos 
* Read file process 
* @param view 
ard 
public void onReadFileClick(View view) { 
FileInputStream fis = null; 
try { 
fis = openFileInput(FILE_NAME); 
byte[] data = new byte[(int) fis.getChannel().size() 
l; 
fis.read(data); 
// *** POINT 4 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
String str - new String(data); 
mFileView.setText(str); 
} catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
) catch (IOException e) ( 
android.util.Log.e("PrivateUserActivity", "failed to 
read file"); 
nay 
if (fis != null) { 
Ery A 
fis.close(); 
) catch (IOException e) ( 
android.util.Log.e("PrivateUserActivity", "f 
ailed to close file"); 


} 
} 


} 


VE 

* Rewrite file process 

* 

* (param view 

P 

public void onWriteFileClick(View view) { 
FileOutputStream fos - null; 


try t 


NO 
N 


4.6.1 示例 代码 


// *** POINT 1 *** Files must be created in applicat 
ion directory. 
// *** POINT 2 *** The access privilege of file must 
be set private mode in order not to be used by other applicatio 
ns. 
fos = openFileOutput(FILE_NAME, MODE_APPEND); 
// *** POINT 3 *** Sensitive information can be stor 
ed. 
// *** POINT 4 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
fos.write(new String("Sensitive information (User Ac 
tivity)¥n").getBytes()); 
} catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
) catch (IOException e) ( 
android.util.Log.e("PrivateUserActivity", "failed to 
read file"); 
} finally T 
if (fos != null) { 
Rye 
fos.close(); 
) catch (IOException e) ( 
android.util.Log.e("PrivateUserActivity", "f 
ailed to close file"); 


} 
} 


} 
callFileActivity(); 


242 


4.6.1.2 使 用 公共 只 读 文件 


这 是 使 用 文件 向 未 指定 的 大 量 应 用 公开 内 容 的 情况 。 如 果 通 过 遵循 以 下 几 点 来 实 
现 ， 那 么 它 也 是 比较 安全 的 文件 使 用 方法 。 请 注意 ， 在 API 级 别 17 及 更 高 版 本 
中 ， 不 推荐 使 用 MODE WORLD READABLE 变量 来 创建 公共 文件 ， 并 且 在 API 级 别 
24 及 更 高 版 本 中 ， 会 触发 安全 异常 ; 因此 使 用 内 容 供应 器 的 文件 共享 方法 更 可 取 。 


X 

1) 文件 必须 在 应 用 目录 中 创建 。 

2) 文件 的 访问 权限 必须 设置 为 其 他 应 用 只 读 。 

3) 敏感 信息 不 得 存储 。 

4) 对 于 要 存储 在 文件 中 的 信息 ， 请 仔细 和 安全 地 处 理 文件 数据 。 
PublicFileActivity.java 


package org.jssec.android.file.publicfile.readonly; 


import java.io.File; 

import java.io.FileInputStream; 
import java.io.FileNotFoundException; 
import java.io.FileOutputStream; 
import java.io.IOException; 

import android.app.Activity; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class PublicFileActivity extends Activity ( 


private TextView mFileView; 
private static final String FILE NAME - "public file.dat"; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.file); 
mFileView - (TextView) findViewById(R.id.file view); 

} 


Jf uius 

* Create file process 

* (param view 

I 

public void onCreateFileClick(View view) ( 
FileOutputStream fos - null; 


try { 


4.6.1 示例 代码 


// *** POINT 1 *** Files must be created in applicat 
ion directory. 

// *** POINT 2 *** The access privilege of file must 

be set to read only to other applications. 

// (MODE WORLD READABLE is deprecated API Level 17, 

// don't use this mode as much as possible and excha 
nge data by using ContentProvider().) 

fos = openFileOutput(FILE NAME, MODE WORLD READABLE) 


// *** POINT 3 *** Sensitive information must not be 
stored. 
// *** POINT 4 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"S.2 Handling Input Data Carefully and Securely." 
fos.write(new String("Not sensitive information (Pub 
lic File Activity)Xn").getBytes()); 
) catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
) catch (IOException e) ( 
android.util.Log.e("PublicFileActivity", "failed to 
read file"); 
} finally 4 
if (fos != null) ( 
try ( 
fos.close(); 
) catch (IOException e) ( 
android.util.Log.e("PublicFileActivity", "fa 
iled to close file"); 


j 
j 
} 
finish(); 
} 


EE 
* Read file process 
* @param view 
wre 
public void onReadFileClick(View view) { 
FileInputStream fis = null; 
try {4 
fis = openFilelInput(FILE NAME); 
byte[] data = new byte[(int) fis.getChannel().size() 
l; 
fis.read(data); 
String str - new String(data); 
mFileView.setText(str); 
} catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
} catch (IOException e) { 
android.util.Log.e("PublicFileActivity", "failed to 
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read file"); 
} finally { 
if (fis != null) { 
try { 
fis.close(); 
) catch (IOException e) ( 
android.util.Log.e("PublicFileActivity", "fa 
iled to close file"); 


} 
} 
} 


Jf 88 
* Delete file process 
* @param view 
nd 
public void onDeleteFileClick(View view) ( 
File file = new File(this.getFilesDir() + "/" + FILE NAM 
E); 
file.delete(); 
mFileView.setText(R.string.file view); 


PublicUserActivity.java 


package org.jssec.android.file.publicuser.readonly; 


import java.io.File; 

import java.io.FileInputStream; 

import java.io.FileNotFoundException; 

import java.io.FileOutputStream; 

import java.io.IOException; 

import android.app.Activity; 

import android.content.ActivityNotFoundException; 
import android.content.Context; 

import android.content.Intent; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class PublicUserActivity extends Activity ( 


private TextView mFileView; 

private static final String TARGET PACKAGE - "org.jssec.andr 
oid.file.publicfile.readonly"; 

private static final String TARGET CLASS - "org.jssec.androi 
d.file.publicfile.readonly.PublicFileActivity"; 


private static final String FILE NAME = "public file.dat"; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.user); 
mFileView - (TextView) findViewById(R.id.file view); 

} 


private void callFileActivity() { 

Intent intent = new Intent(); 

intent.setClassName(TARGET PACKAGE, TARGET CLASS); 

try t 
startActivity(intent); 

) catch (ActivityNotFoundException e) ( 
mFileView.setText("(File Activity does not exist)"); 

J 


j 


JE 

* Call file Activity process 

* (param view 

NEZ 

public void onCallFileActivityClick(View view) { 
callFileActivity(); 

j 


// 5835 
* Read file process 
* (param view 
D 
public void onReadFileClick(View view) ( 
FilelnputStream fis = null; 
LIV 
File file - new File(getFilesPath(FILE NAME)); 
fis = new FileInputStream(file); 
byte[] data = new byte[(int) fis.getChannel().size() 
l; 
fis.read(data); 
// *** POINT 4 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"S.2 Handling Input Data Carefully and Securely." 
String str - new String(data); 
mFileView.setText(str); 
) catch (FileNotFoundException e) { 
android.util.Log.e("PublicUserActivity", "no file"); 
) catch (IOException e) ( 
android.util.Log.e("PublicUserActivity", "failed to 
read file"); 
) finally ( 


if (fis != null) ( 
try 
fis.close(); 
) catch (IOException e) ( 


android.util.Log.e("PublicUserActivity", "fa 
iled to close file"); 


} 
} 
} 


[s 
* Rewrite file process 
* @param view 
a 
public void onWriteFileClick(View view) { 
FileOutputStream fos = null; 
boolean exception = false; 
try { 
File file = new File(getFilesPath(FILE_NAME)); 
// Fail to write in. FileNotFoundException occurs. 
fos = new FileOutputStream(file, true); 
fos.write(new String("Not sensitive information (Pub 
lic User Activity)¥n").getBytes()); 
} catch (IOException e) { 
mFileView.setText(e.getMessage()); 
exception = true; 
+ finally 4 
af (fos != null) { 
try { 
fos.close(); 
) catch (IOException e) ( 
exception - true; 


} 
} 
} 
if (!exception) 
callFileActivity(); 
} 
private String getFilesPath(String filename) { 
String path = ""; 
EVO 


Context ctx = createPackageContext(TARGET. PACKAGE, 
Context.CONTEXT RESTRICTED); 
File file - new File(ctx.getFilesDir(), filename); 
path - file.getPath(); 
) catch (NameNotFoundException e) { 
android.util.Log.e("PublicUserActivity", "no file"); 
} 


return path; 


4.6.1 示例 代码 
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4.6.1.3 创建 公共 读 写 文件 
这 是 一 种 文件 用 法 ， 它 允许 未 指定 的 大 量 应 用 的 读 写 访问 。 


未 指定 的 大 量 应 用 可 以 读 写 ， 意 思 不 用 多 说 了 。 恶意 软件 也 可 以 读 取 和 写 入 ， 因 此 
M s 性 将 永远 不 会 得 到 保证 。 另外 ， 即 使 在 没有 恶意 的 情况 下 ， 也 
不 能 控制 文件 中 的 数据 格式 或 写 入 的 时 间 。 所 以 这 种 类 型 的 文件 在 功能 方面 几乎 不 
实用 。 


如 上 所 述 ， 从 安全 性 和 应 用 设计 的 角度 来 看 ， 不 可 能 安全 地 使 用 读 写 文件 ， 因 此 应 
该 避免 使 用 读 写 文件 。 
要 点 : 


不 要 创建 允许 来 自 其 他 应 用 的 读 写 操作 的 文件 。 


4.6.1.4 使 用 外 部 存储 器 (公共 读 写 ) 文件 


将 文件 存储 在 SD 卡 等 外 部 存储 器 POTE cos e 当 存 储 比较 庞大 的 信息 
(放置 从 Web 下 载 的 文件 ) 或 者 将 信息 带 出 到 外 部 时 (备份 等 ) 时 ， 应 该 使 用 

€ o 

对 于 未 指定 的 大 量 应 用 ，“ 外 部 存储 器 文件 (公共 读 写 ) "与 “公共 读 写 文件 ' 有 相同 特 
性 。 另 外 ， 对 于 声明 使 用 android.permission.WRITE_EXTERNAL_STORAGE 权限 
的 应 用 ， 它 和 “公共 读 写 文件 "具有 相同 的 特性 。 因 此 ， 应 尽 可 能 减少 "外 部 存储 器 
(公共 读 写 ) 文件 ”的 使 用 。 


按照 Android 应 用 的 惯例 ， 备 份 文 件 很 可 能 是 在 外 部 存储 器 中 创建 的 。 但 是 ， 如 上 
所 述 ， 外 部 存储 器 中 的 文件 存在 被 其 他 应 用 (包括 恶意 软件 ) 自 改 /删除 的 风险 。 
此 ， 在 输出 备份 的 应 用 中 ， ,为 了 最 小 化 应 用 规范 或 设计 方面 的 风险 ， 一 些 设计 是 必 
要 的 ， 例 如 显示 “尽快 将 备份 文件 复制 到 PC 等 安全 位 置 "*。 


要 点 : 
1) 不 得 存储 敏感 信息 。 

2) 文件 必须 存储 在 每 个 应 用 的 唯一 目录 中 。 

3) 对 于 要 存储 在 文件 中 的 信息 ， 请 仔细 和 安全 地 处 理 文件 数据 。 
4) 请 求 应 用 的 文件 写 入 应 该 按照 规范 禁止 。 


AndroidManifest.xml 


4.6.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oli o 
package-"org.jssec.android.file.externalfile" > 
«!-- declare android.permission.WRITE EXTERNAL STORAGE permi 
ssion to write to the external strage -- 
2 
«!-- In Android 4.4 (API Level 19) and later, the applicatio 
n, which read/write only files in its sp 
ecific 
directories on external storage media, need not to require t 
he permission and it should declare 
the maxSdkVersion --> 
«uses-permission android:name-"android.permission.WRITE EXTE 
RNAL STORAGE" 
android:maxSdkVersion-z"18"/» 
«application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name=".ExternalFileActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


[E mj 


ExternalFileActivity.java 


package org.jssec.android.file.externalfile; 


import java.io.File; 

import java.io.FileInputStream; 
import java.io.FileNotFoundException; 
import java.io.FileOutputStream; 
import java.io.IOException; 

import android.app.Activity; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class ExternalFileActivity extends Activity ( 
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private TextView mFileView; 
private static final String TARGET_TYPE = "external"; 
private static final String FILE_NAME = "external_file.dat"; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.file); 
mFileView - (TextView) findViewById(R.id.file view); 


} 
VEI 
* Create file process 
* 
* (param view 
dà 
public void onCreateFileClick(View view) ( 
FileOutputStream fos - null; 
try 
// *** POINT 1 *** Sensitive information must not be 
stored. 
// *** POINT 2 *** Files must be stored in the uniqu 
e directory per application. 
File file - new File(getExternalFilesDir(TARGET TYPE 
), FILE NAME); 
fos - new FileOutputStream(file, false); 
// *** POINT 3 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"S.2 Handling Input Data Carefully and Securely." 
fos.write(new String("Non-Sensitive Information(Exte 
rnalFileActivity)Xn") 
.getBytes()); 
) catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
) catch (IOException e) ( 
android.util.Log.e("ExternalFileActivity", "failed t 
o read file"); 
+ finally T 
if (fos != null) 4 
try { 
fos.close(); 
) catch (IOException e) ( 
android.util.Log.e("ExternalFileActivity", " 
failed to close file"); 


j 
} 
} 
finish(); 
j 


VALE 
* Read file process 


* 


* @param view 
a 
public void onReadFileClick(View view) { 
FileInputStream fis = null; 
try { 
File file = new File(getExternalFilesDir(TARGET TYPE 
), FILE NAME); 
fis = new FileInputStream(file); 
byte[] data - new byte[(int) fis.getChannel().size() 
]; 
fis.read(data); 
// *** POINT 3 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
String str = new String(data); 
mFileView.setText(str); 
} catch (FileNotFoundException e) { 
mFileView.setText(R.string.file_view); 
} catch (IOException e) { 
android.util.Log.e("ExternalFileActivity", "failed t 
o read file"); 
t finally 1 
if (fis !- null) ( 
Ey 
fis.close(); 
) catch (IOException e) ( 
android.util.Log.e("ExternalFileActivity", " 
failed to close file"); 


} 
} 
} 


Jf 9338 
* Delete file process 
* 
* (param view 
ir 
public void onDeleteFileClick(View view) ( 
File file - new File(getExternalFilesDir(TARGET TYPE), F 
ILE NAME); 
file.delete(); 
mFileView.setText(R.string.file view); 


使 用 的 示例 代码 : 


ExternalFileUserjava 


package org. 


import 
import 
import 
import 
import 
import 
import 
import 
import 
import 
import 
import 
import 
import 


public 


java.io. 
java.io. 
java.io. 
java.io. 
android. 
android. 
android. 
android. 
android. 
android. 
android. 
android. 
android. 
.Widget .TextView; 


android 


jssec.android.file.externaluser; 


File; 

FileInputStream; 
FileNotFoundException; 
IOException; 

app.Activity; 

app.AlertDialog; 
content.ActivityNotFoundException; 
content.Context; 
content.DialogInterface; 
content.Intent; 
content.pm.PackageManager .NameNotFoundException; 
os.Bundle; 

view.View; 


class ExternalUserActivity extends Activity { 


private TextView mFileView; 

private static final String TARGET PACKAGE - "org.jssec.andr 
oid.file.externalfile"; 

private static final String TARGET_CLASS = "org.jssec.androi 
d.file.externalfile.ExternalFileActivity"; 

private static final String TARGET_TYPE = "external"; 

private static final String FILE_NAME = "external_file.dat"; 


@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.user); 

mFileView = (TextView) findViewById(R.id.file view); 


j 


private void callFileActivity() 1 


} 


jp 


Intent 


intent. 


try 4 


intent = new Intent(); 
setClassName(TARGET PACKAGE, TARGET CLASS); 


startActivity(intent); 
) catch (ActivityNotFoundException e) ( 
mFileView.setText("(File Activity does not exist)"); 


j 


* Call file Activity process 


* 


* (param view 


A 


public void onCallFileActivityClick(View view) { 
callFileActivity(); 


j 


Ask 


* Read file process 
* @param view 
SA 
public void onReadFileClick(View view) { 
FileInputStream fis = null; 
try { 
File file = new File(getFilesPath(FILE NAME)); 
fis = new FileInputStream(file); 
byte[] data = new byte[(int) fis.getChannel().size() 
l; 
fis.read(data); 
// *** POINT 3 *** Regarding the information to be s 
tored in files, handle file data carefully and securely. 
// Omitted, since this is a sample. Please refer to 
"3.2 Handling Input Data Carefully and Securely." 
String str - new String(data); 
mFileView.setText(str); 
} catch (FileNotFoundException e) { 
mFileView.setText(R.string.file view); 
) catch (IOException e) ( 
android.util.Log.e("ExternalUserActivity", "failed t 
o read file"); 
t finally 1 
if (fis !- null) ( 
EY A 
fis.close(); 
) catch (IOException e) ( 
android.util.Log.e("ExternalUserActivity", " 
failed to close file"); 


} 
} 
} 


[rs 
* Rewrite file process 
* @param view 
ir 
public void onWriteFileClick(View view) { 
// *** POINT 4 *** writing file by the requesting applic 
ation should be prohibited as the specification. 
// Application should be designed supposing malicious ap 
plication may overwrite or delete file. 
final AlertDialog.Builder alertDialogBuilder - new Alert 
Dialog.Builder(this); 
alertDialogBuilder.setTitle("POINT 4"); 
alertDialogBuilder.setMessage("Do not write in calling a 
ppilication:^); 
alertDialogBuilder.setPositiveButton( "OK", 
new DialogInterface.OnClickListener() { 
QOverride 


NO 


public void onClick(DialogInterface dialog, int whic 


h) { 
callFileActivity(); 
} 
}); 
alertDialogBuilder.create().show(); 
} 
private String getFilesPath(String filename) { 
String path = ""; 
Eny A 


Context ctx = createPackageContext(TARGET PACKAGE, 
Context.CONTEXT IGNORE SECURITY); 
File file = new File(ctx.getExternalFilesDir(TARGET . 
TYPE), filename); 
path - file.getPath(); 
) catch (NameNotFoundException e) { 
android.util.Log.e("ExternalUserActivity", "no file" 


j 


return path; 


AndroidManifest.xml 


4.6.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
odu 

package="org.jssec.android.file.externaluser" > 

<!-- In Android 4.0.3 (API Level 14) and later, the permissi 
on for reading external storages 

has been defined and the application should decalre that it 
requires the permission. 

In fact in Android 4.4 (API Level 19) and later, that must b 
e declared to read other directories 

than the package specific directories. --> 

«uses-permission android:name-"android.permission.READ EXTER 
NAL STORAGE" /» 


«application 
android:icon-z"Qdrawable/ic launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name=".ExternalUserActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


LI 
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4.6.2 规则 书 
遵循 以 下 规则 : 


4.6.2.1 文件 原则 上 必须 创建 为 私有 (LE) 


如 “4.6 处 理 文件 "和 "4.6.1.3 使 用 公共 读 / 写 文件 "所 述 ， 无 论 要 存储 的 信息 的 内 容 如 
何 ， 原 则 上 都 应 该 将 文件 设置 为 私有 。 从 Android 安全 角度 来 看 ， 交换 信息 及 其 访 
Io] 4 h | 应 该 在 Android 系统 中 完成 ， ， 如 内 容 供 应 器 ss 和 和 服务， 并 且 如 果 存 在 不 可 能 的 
因素 ， 则 应 该 考虑 由 文件 访问 权限 作为 替代 方法 。 


请 参阅 每 个 文件 类 型 的 示例 代码 和 以 下 规则 条 目 。 


4.6.2.2 禁止 创建 允许 来 自 其 他 应 用 的 读 写 访问 的 文件 (LE) 


pd e CAM eas cu i uM uM 存储 在 
文件 中 的 信息 无 法 控制 。 因此 ， 从 安全 和 功能 /设计 的 角度 来 看 ， 不 应 该 用 公共 读 / 
写 文件 共享 信息 。 


4.6.2.3 使 用 存储 在 外 部 存储 器 如 SD F) 的 文件 ， 应 该 尽 可 能 最 
小 (必需) 


如 “4.6.1.4 使 用 外 部 存储 器 (公共 读 写 ) 文件 "中 所 述 ， 出 于 安全 和 功能 的 考虑 ， 将 
文件 存储 在 外 部 存储 器 (如 SD F) 中 ， 会 导致 潜在 的 问题 。 田 一 方面 ， 与 应 用 目 
录 相 比 ，SD 卡 可 以 处 理 更 大 范 e Bl 863 Sc 4 » 并 且 这 是 可 以 用 于 将 数据 带 出 到 应 用 之 
外 的 唯一 存储 器 。 所以， 可 能 有 很 多 情况 下 必须 使 用 它 ， 取 决 于 应 用 的 规范 。 


将 文件 存储 在 外 部 存储 器 中 时 ， 考 虑 到 未 指定 的 大 量 应 用 和 用 户 可 以 读 / 写 /删除 文 
件 ， 所 以 有 必要 考虑 以 下 各 点 以 及 示例 代码 中 提 及 的 要 点 ， 来 设计 应 用 。 


e 原则 上 ， 敏 感 信 ， 名 不 应 保存 在 外 部 存储 器 的 文件 中 。 

。 将 敏感 信息 保存 在 外 部 存储 器 的 文件 中 时 ， 应 将 其 加 密 

e 将 文件 保存 在 外 部 存储 器 时 ， 如 果 被 其 他 应 用 或 用 户 自 改 ， 将 会 出 现 问题 ， 应 
该 用 电子 签名 保存 。 

e pee 中 的 文件 时 ， 请 在 验 丛 证 读 取 的 数据 安全 性 后 使 用 数据 。 

e 这 样 设计 应 用 ， 假 设 外 部 存储 器 中 的 文件 始终 可 以 被 删除 。 


请 参考 "4.6.2.4 应 用 应 该 在 考虑 文件 范围 的 情况 下 设计 ”。 


o 


4.6.2.4 应 用 应 该 在 考虑 文件 范围 的 情况 下 设计 (必需) 


保存 在 应 用 目录 中 的 数据 ， 被 以 下 用 户 操作 出 lo 它 与 应 用 的 范围 是 一 致 的 ， 并 且 
与 应 用 的 范围 相 比 ， 它 的 独特 之 处 在 于 它 比 应 用 的 范围 小 。 


e RE H 
e 删除 每 个 应 用 的 数据 和 缓存 (设置 => 应 用 => 选 择 目标 应 用 ) 


保存 在 外 部 存储 器 中 的 文件 ， 如 SD 卡 ， 文 件 的 范围 比 应 用 的 范围 长 。 另 外 ， 还 需 
要 考虑 以 下 情况 。 

e 文件 由 用 户 删 除 

e 取出 /替换 /取消 挂 载 SD F 

e 文件 由 恶意 软件 删除 
如 上 所 述 ， 由 于 文件 范围 取决 于 文件 的 保存 位 置 而 有 所 不 同 ， 不 仅 从 保护 敏感 信息 
的 角度 ， 而 且 从 实现 应 用 的 正确 行为 的 角度 ， 有 必要 选择 文件 保存 位 置 。 


4.6.3 高 级 话题 


4.6.3.1 通过 文件 描述 符 的 文件 共享 

有 一 种 方法 可 以 通过 文件 描述 符 共享 文件 ， 而 不 是 让 其 他 应 用 访问 公共 文件 。 此 方 
法 可 用 在 内 容 供 应 器 和 服务 中 。 对 方 的 应 用 可 以 通过 文件 描述 符 读 取 / 写 入 文件 ， 
这 些 文件 描述 符 通过 在 内 容 供 应 器 或 服务 中 ， 打 开 私 人 文件 来 获得 。 

其 他 应 用 直接 访问 文件 的 共享 方式 ， 与 文件 描述 符 的 共享 方式 的 比较 如 下 表 4.6- 


2° 优点 是 访问 权限 的 变化 ， 以 及 允许 访问 的 应 用 范围 。 特 别 是 从 安全 角度 来 看 ， 
这 是 一 个 很 大 的 优点 ， 可 以 详细 控制 允许 访问 的 应 用 。 


表 4.6-2 应 用 内 文件 共享 方式 的 比较 


ATE By i | NUS : ux 
Lenexa | SEHE 允许 访问 的 应 用 范围 
限 设 置 
允许 其 他 应 用 直 
接 访问 的 文件 共 ， 读 、 写 、 读 写 。 ”给予 所 有 应 用 同等 访问 权限 
享 


读 、 写 、 仅 添 


通过 文件 描述 符 | 加 、 读 写 、 读 可 以 控制 是 否 将 权限 授予 应 用 ， 它 们 尝 
的 文件 共享 apos 试 独立 和 暂时 访问 内 容 供 应 器 和 服务 。 


+ 添加 


在 上 述 两 种 文件 共享 方法 中 ， 这 是 很 常见 的 ， 因 为 向 其 他 应 用 提供 文件 写 入 权限 
时 ， 文 件 内 容 的 完整 性 很 难得 到 保证 。 当 多 个 应 用 并 行 写 入 时 ， 可 能 会 破坏 文件 内 
容 的 数据 结构 ， 导 致 应 用 无 法 正常 工作 。 因此， 在 与 其 他 应 用 共享 文件 时 ， 只 允许 
只 读 权 限 。 


以 下 是 通过 内 容 供 应 器 的 文件 共享 的 实现 示例 ， 及 其 示例 代码 。 

要 点 : 

1) 源 应 用 是 内 部 应 用 ， 因 此 可 以 保存 敏感 信息 。 

2) 即使 是 由 内 部 的 内 容 供应 器 产生 的 结果 ， 也 要 验证 结果 数据 的 安全 性 。 


InhouseProvider.java 


package org.jssec.android.file.inhouseprovider; 


import java.io.File; 

import java.io.FileNotFoundException; 
import java.io.FileOutputStream; 

import java.io.IOException; 

import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.content.ContentProvider; 


import android.content.ContentValues; 
import android.content.Context; 

import android.database.Cursor; 

import android.net.Uri; 

import android.os.ParcelFileDescriptor; 


public class InhouseProvider extends ContentProvider { 


private static final String FILENAME = "Sensitive.txt"; 

// In-house signature permission 

private static final String MY PERMISSION - "org.jssec.andro 
id.file.inhouseprovider.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of debug.keystore "and 
roiddebugkey" 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of keystore "my compan 
y key" 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 


} 
} 
return sMyCertHash; 
} 
QOverride 


public boolean onCreate() ( 

File dir - getContext().getFilesDir(); 

FileOutputStream fos - null; 

try 
fos - new FileOutputStream(new File(dir, FILENAME)); 
// *** POINT 1 *** The source application is In hous 

e application, so sensitive information can be saved. 

fos.write(new String("Sensitive information").getByt 


es()); 
) catch (IOException e) ( 
android.util.Log.e("InhouseProvider", "failed to rea 
d fide") 
} finally { 
try A 


fos.close(); 
) catch (IOException e) ( 
android.util.Log.e("InhouseProvider", "failed to 
close file"); 


} 
} 


4.6.3 高 级 话题 


return true; 


} 


@Override 
public ParcelFileDescriptor openFile(Uri uri, String mode) 
throws FileNotFoundException { 
// Verify that in-house-defined signature permission is 
defined by in-house application. 
if (!SigPerm.test(getContext(), MY_PERMISSION, myCertHas 
h(getContext()))) { 
throw new SecurityException( 
"In-house-defined signature permission is not de 
fined by in-house application."); 
} 
File dir = getContext().getFilesDir(); 
File file = new File(dir, FILENAME); 
// Always return read-only, since this is sample 
int modeBits = ParcelFileDescriptor.MODE READ ONLY; 
return ParcelFileDescriptor.open(file, modeBits); 


j 


QOverride 
public String getType(Uri uri) 1 
return ""; 


j 


QOverride 
public Cursor query(Uri uri, String[] projection, String sel 
ection, 
String[] selectionArgs, String sortOrder) { 
return null; 


j 


QOverride 
public Uri insert(Uri uri, ContentValues values) { 
return null; 


j 


QOverride 
public int update(Uri uri, ContentValues values, String sele 
CELON, 
String[] selectionArgs) { 
Return or 


} 


@Override 
public int delete(Uri uri, String selection, String[] select 


ionArgs) { 
return 0; 
} 
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InhouseUserActivity.java 


package org.jssec.android.file.inhouseprovideruser; 


import java.io.FileInputStream; 

import java.io.FileNotFoundException; 
import java.io.IOException; 

import org.jssec.android.shared.PkgCert; 
import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.Context; 

import android.content.pm.PackageManager; 
import android.content.pm.ProviderInfo; 
import android.net.Uri; 

import android.os.Bundle; 

import android.os.ParcelFileDescriptor; 
import android.view.View; 

import android.widget.TextView; 


public class InhouseUserActivity extends Activity { 


// Content Provider information of destination (requested pr 
ovider) 

private static final String AUTHORITY - "org.jssec.android.f 
ile.inhouseprovider"; 

// In-house signature permission 

private static final String MY PERMISSION - "org.jssec.andro 
id.file.inhouseprovider.MY PERMISSION"; 

// In-house certificate hash value 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of debug.keystore 


and 
roiddebugkey" 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of keystore "my compan 
y key" 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
} 
} 
return sMyCertHash; 


} 


// Get package name of destination (requested) content provi 
der. 
private static String providerPkgname(Context context, Strin 


g authority) { 

String pkgname = null; 

PackageManager pm = context.getPackageManager(); 

ProviderInfo pi = pm.resolveContentProvider(authority, 0 
); 

if (pi != null) 

pkgname - pi.packageName; 

return pkgname; 


} 


public void onReadFileClick(View view) { 
logLine("[ReadFile]"); 
// Nerify that in-house-defined signature permission is 
defined by in-house application. 


if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 
) {í 
logLine(" In-house-defined signature permission is n 
ot defined by in-house application."); 
return; 
} 


// Nerify that the certificate of destination (requested 
) content provider application is in-house certificate. 
String pkgname = providerPkgname(this, AUTHORITY); 
if (!PkgCert.test(this, pkgname, myCertHash(this))) { 
logLine(" Destination (Requested) Content Provider i 
s not in-house application."); 
return; 
} 


// Only the information which can be disclosed to in-hou 
se only content provider application, can be included in a reque 
Site 

ParcelFileDescriptor pfd = null; 

Bn 

pfd = getContentResolver().openFileDescriptor( 
Uri.parse("content://" + AUTHORITY), "r"); 

} catch (FileNotFoundException e) { 

android.util.Log.e("InhouseUserActivity", "no file") 


} 
if (pfd != null) { 
FileInputStream fis = new FileInputStream(pfd.getFil 
eDescriptor()); 
if (fis != null) { 
thy of 
byte[] buf = new byte[(int) fis.getChannel() 
.Size()]; 
fis.read(buf); 
/7 *** POINT 2 *** Handle received result da 
ta carefully and securely, 
// even though the data came from in-house a 
pplications. 
// Omitted, since this is a sample. Please r 
efer to "3.2 Handling Input Data Carefully and Securely." 


logLine(new String(buf) ); 
) catch (IOException e) { 
android.util.Log.e("InhouseUserActivity", "f 
ailed to read file"); 
) finally ( 
try { 
fis.close(); 
) catch (IOException e) ( 
android.util.Log.e("ExternalFileActivity" 
, "failed to close file"); 


} 
} 
} 
try 4 
pfd.close(); 
} catch (IOException e) { 
android.util.Log.e("ExternalFileActivity", "fail 
ed to close file descriptor"); 
} 


} else { 
logLine(" null file descriptor"); 


} 
private TextView mLogView; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mLogView - (TextView) findViewById(R.id.logview); 

} 


private void logLine(String line) { 
mLogView.append(line); 
mLogView.append("xn"); 





4.6.3.2 为 目录 设置 访问 权限 


以 上 所 解释 的 安全 考虑 ， 重 点 在 于 文件 。 还 需要 考虑 作为 文件 容器 的 目录 的 安全 
性 。 以 下 说 明了 目录 的 访问 权限 设置 的 安全 性 考虑 。 


在 Android 中 ， 有 一 些 方法 可 以 在 应 用 目录 中 获取 /创建 子 目录 。 主要 如 表 4.6-3。 
表 4.6-3 在 应 用 目录 中 获取 /创建 子 目 录 的 方法 


规定 其 它 应 
用 的 访问 权 删除 文件 
限 
不 可 能 (只 
Context#getFilesDir() 有 执行 权 
IR) 


RT HE (A 


设置 => 应 用 => 选 择 目 标 应 用 => 
清除 数据 


设置 => 应 用 => 选 择 目 标 应 用 => 


Context#getcacheDir() ~ FRAG 〈 也 可 以 清除 数据 ) 
"ContextZgetDir(String 
name, 

int 


MODE) | 可 以 对 MODE 设置 如 下 : MODE PRIVATE 'MODE WORLD READABLE 
MODE WORLD WRITEABLE | 设置 => 应 用 => 选 择 目 标 应 用 => 清 除数 据 | 


这 里 特别 需要 注意 的 是 Context#getDir() 的 访问 权限 设置 。 正如 文件 创建 中 所 
说 明 的 ， 从 安全 设计 的 角度 来 看 ， 目 录 基 本 上 也 应 该 设置 为 私有 的 。 当 信 息 共享 取 
决 于 访问 权限 设置 时 ， 可 能 会 产生 意 想不到 的 副作用 ， 所 以 应 采取 其 他 方法 用 于 信 
息 共享 。 


MODE_WORLD_READABLE 


这 是 一 个 标志 ， 为 所 有 应 用 提供 目录 的 只 读 权限 。 所 以 所 有 应 用 都 可 以 获取 目录 中 
的 文件 列表 ， 和 单个 文件 属性 信息 。 由 于 秘密 文件 可 能 不 会 被 放置 在 这 些 目录 中 ，， 
所 以 通常 不 能 使 用 该 标志 [15] 。 

MODE_WORLD_WRITEABLE 


该 标志 位 其 他 应 用 提供 目录 的 写 入 权限 。 所 有 应 用 都 可 以 创建 /移动 / 重 命名 /删除 目 
录 中 的 文件 。 这 些 操作 与 文件 本 身 的 访问 权限 设置 ( 读 / 写 /执行 ) 没有 关系 ， 所 以 
需要 注意 的 是 ， 仅 仅 使 用 目录 的 写 入 权限 就 能 执行 操作 。 此 标志 允许 其 他 应 用 随意 
删除 或 替换 文件 ， 因 此 一 般 不 能 使 用 。 


[15] MODE WORLD READABLE 和 MODE WORLD WRITEABLE 在 API 17 和 更 高 版 
本 以 及 API 24 和 更 高 版 本 中 弃 用 ， 使 用 它们 将 触发 安全 异常 。 


对 于 表 4.6-3 Ut] P Bi f" » 38 "4.6.2.4 应 用 应 考虑 文件 范围 而 设计 (必需 ) ”。 


4.6.3.3 共 译 首选 项 和 数据 库 文件 的 访问 权限 设置 


共享 首选 项 和 数据 库 也 由 文件 组 成 。 对 于 访问 权限 设置 ， 对 文件 解释 的 内 容 也 会 在 
这 里 解释 。 因此 ， 共 享 首 选项 和 数据 库 都 应 该 创建 为 私有 文件 ， 与 文件 相同 ， 内 容 
共享 应 该 由 Android 的 应 用 间 联 动 系统 来 实现 。 


下 面 将 展示 共享 首选 项 的 使 用 示例 。 通过 MODE PRIVATE ， 共 享 首 选项 被 设置 为 
私有 文件 。 


import android.content.SharedPreferences; 
import android.content.SharedPreferences.Editor; 


// Ommision of a passage 


// Get Shared Preference . (If there's no Shared Preference, it' 
s to be created.) 
// Point:Basically, specify MODE PRIVATE mode. 
SharedPreferences preference - getSharedPreferences( 
PREFERENCE FILE NAME, MODE PRIVATE); 





// Example of writing preference which value is charcter string 
Editor editor - preference.edit(); 

editor.putString("prep key", "prep value");// key:"prep key", va 
lue:"prep value" 

editor.commit(); 


对 于 数据 库 ， 请 参考 “4.5 使 用 SQLite" » 


4.6.3.4 Android 4.4 (API 级 别 19) 及 更 高 版 本 中 ， 外 部 存储 访 
问 的 规范 更 改 


A Android 4.4 (API Level 19) 以 来 ， 外 部 存储 访问 的 规范 已 更 改 为 以 下 内 容 。 
(1) 如 果 应 用 需要 读 / 写 其 外 部 存储 器 上 的 特定 目录 ， 则 不 需要 使 


用 «uses-permission» f 
8] WRITE EXTERNAL. STORAGE / READ EXTERNAL STORAGE 权限 。 (已 更 改 ) 


(2) 如 果 应 用 需要 读 取 除外 部 存储 器 上 特定 目录 以 外 的 目录 中 的 文件 ， 则 需要 使 
用 <uses-permission> 声明 READ_EXTERNAL_STORAGE 权限 。 (已 更 改 ) 


(3) 如 果 应 用 需要 写 入 主 外 部 存储 器 上 的 特定 目录 以 外 的 目录 中 的 文件 ， 则 需要 
使 用 <uses-permission> 声明 WRITE_EXTERNAL_STORAGE 权限 。 
(4) 应 用 无 法 写 入 次 要 外 部 存储 器 上 的 特定 目录 以 外 的 目录 中 的 文件 。 


在 该 规范 中 ， 根 据 Android OS 的 版 本 确定 是 否 需 要 权限 请 求 。 因此， 如 果 应 用 支 
4r &4& Android 4.3 和 4.4 在 内 的 版 本 ， 则 可 能 会 导致 应 用 需要 用 户 不 必要 的 许 
可 。 因此 ， 建 议 使 用 对 应 (1) 的 应 用 ， 如 下 所 示 使 


用 «uses-permission» 的 maxSdkVersion 属性 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
ordu 
package-"org.jssec.android.file.externaluser" > 
<!-- In Android 4.0.3 (API Level 14) and later, the permissi 
on for reading external storages 
has been defined and the application should decalre that it 
requires the permission. 
In fact in Android 4.4 (API Level 19) and later, that must b 
e declared to read other directories 
than the package specific directories. --> 
«uses-permission android:name-"android.permission.READ EXTER 
NAL STORAGE" /» 
«application 
android:icon-"Qdrawable/ic launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name=".ExternalUserActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


Pe 


4.6.3.5 Android 7.0 (API Level 24) 中 的 规范 已 修改 ， 以 便 访 
问 外 部 存储 介质 上 的 特定 目录 


在 运行 Android 7.0 (API Level 24) 或 更 高 版 本 的 设备 上 ， 引 入 了 一 种 称 为 作用 域 
目录 访问 API 的 新 API。 作用 域 目录 访问 允许 应 用 在 未 经 许可 的 情况 下 ， 访 问 外 部 
存储 器 上 的 特定 目录 。 在 作用 域 目 录 访 问 中 ， 将 Environment 类 中 定义 的 目录 作 
为 参数 传递 给 StorageVolumeZcreateAccessIntent 方法 ， 来 创建 一 个 意图 。 
通过 startActivityForResult 发 送 此 意图 ， 可 以 启动 一 个 对 话 框 ， 在 终端 屏幕 
上 请 求 访问 权限 ， 并 且 - 如 果 用 户 授予 权限 - 每 个 存储 卷 上 的 指定 目录 都 可 以 访 

问 。 


A 4.6-4 可 以 通过 作用 域 目录 访问 来 访问 的 目录 


DIRECTORY_MUSIC 通用 音乐 文件 的 标准 位 置 


DIRECTORY_PODCASTS 播客 的 标准 目录 
DIRECTORY_RINGTONES ringtone 的 标准 目录 
DIRECTORY_ALARMS i] 44-09 45 HE R 
DIRECTORY_NOTIFICATIONS 提醒 的 标准 目录 
DIRECTORY_PICTURES 图 片 的 标准 目录 

DIRECTORY_MOVIES 电影 的 标准 目录 
DIRECTORY_DOWNLOADS 用 户 下 载 的 文件 的 标准 目录 
DIRECTORY_DCIM 相机 产生 的 图 片 /视频 文件 的 标准 目录 
DIRECTORY_DOCUMENTS 用 户 创建 的 文档 的 标准 目录 


如 果 应 用 要 访问 的 位 置 位 于 上 述 目录 之 一 ， 并 且 该 应 用 正在 Android 7.0 或 更 高 版 
本 的 设备 上 运行 ， 则 建议 使 用 作用 域 目录 访问 ， 原 因 如 下 。 对 于 必须 继续 支持 
Android 7.0 以 下 的 设备 的 应 用 ， 请 参阅 “4.6.3.4 Android 4.4 (API 级 别 19) 及 更 高 
版 本 中 的 外 部 存储 访问 的 规范 更 改 " 中 ， 列 出 的 AndroidManifest 中 的 示例 代 
码 。 


e 授予 访问 外 部 存储 的 权限 时 ， 应 用 可 以 访问 预期 目标 以 外 的 目录 。 

e 使 用 存储 器 访问 框架 来 要 求 用 户 选择 可 访问 的 目录 ， 会 导致 繁琐 的 过 程 ， 用 户 
必须 在 每 次 访问 时 配置 一 个 选择 器 。 另外 ， 当 访问 外 部 存储 器 的 根 目 录 时 ， 整 
个 存储 器 变 成 可 访问 的 。 


4.7 使 用 可 浏览 的 意 


Android 应 用 可 以 设计 为 从 浏览 器 启动 ， 并 对 应 网 页 链接 。 这 个 功能 被 称 为 “可 浏览 
的 意图 ”。 通 过 在 清单 文件 中 指定 URI 模式 ， 应 用 将 响应 具有 其 URI 模式 的 链接 转 
4 (用 户 点 击 等 ) ， 并 且 应 用 以 链接 作为 参数 启动 。 


此 外 ， 使 用 URI 模式 从 浏览 器 启动 相应 应 用 的 方法 不 仅 支持 Android， 也 支持 iOS 
和 其 他 平台 ， 这 通常 用 于 Web 应 用 与 外 部 应 用 之 间 的 链接 等 。 例 如 ， 在 Twitter 应 
用 或 Facebook 应 用 中 定义 了 以 下 URI 模式 ， 并 且 在 Android 和 iOS 中 从 浏览 器 
启动 相应 的 应 用 。 


表 4.7-1 
URL 模式 相应 应 用 
HOE Facebook 
twitter:// Twitter 


考虑 到 联动 性 和 便利 性 ， 功 能 似乎 非常 方便 ， 但 存在 一 些 风 险 ， 即 该 功能 被 恶意 第 
三 方 小 用。 可 以 假设 Weak AL aan non 
的 URL 具有 不 正确 的 参数 ， 或 者 它们 通过 欺骗 智能 手机 用 户 安装 恶意 软件 ， 

含 相同 的 URI 模式 ， 来 获取 包含 PRICE UT IE a 
些 风险 时 有 一 些 要 注意 的 地 方 。 


4.7.1 示例 代码 
使 用 “可 浏览 的 意图 ”的 应 用 的 示例 代码 如 下 
要 点 : 


1) (网 页 侧 ) 不 得 包含 敏感 信息 。 
2) 仔细 和 安全 地 处 理 URL 参数 。 


Starter.html 
«html» 
«body» 
<!-- *** POINT 1 *** Sensitive information must not be i 
ncluded --> 
«!-- Character strings to be passed as URL parameter, sh 


ould be UTF-8 and URI encoded. --> 
«a href="Secure://jssec?user=user_id"> Login </a> 
</body> 
</html> 


AndroidManifest.xml 


4.7 使 用 可 浏览 的 意图 


<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/ 
<application 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android:allowBackup="false" > 
<activity 
android: name=".BrowsableIntentActivity" 
android: label="@string/title_activity_browsable_inte 


mie 
android:exported="true" > 
<intent-filter> 
<action android:name="android.intent.action.MAIN" 
je 


<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
<intent-filter> 
«action android: name="android.intent.action.VIEwW" 
/> 
// Accept implicit Intent 
<category android:name="android.intent.category. 
DEFAULT" /> 
// Accept Browsable intent 
<category android:name="android.intent.category. 
BROWSABLE" /> 
// Accept URI 'secure://jssec' 
«data android:scheme-"secure" android:host="jsse 
CUu 
</intent-filter> 
</activity> 
</application> 
</manifest> 


[ER 


BrowsablelntentActivity.java 


271 


package org.jssec.android.browsableintent; 


import android.app.Activity; 
import android.content.Intent; 
import android.net.Uri; 

import android.os.Bundle; 
import android.widget.TextView; 


public class BrowsableIntentActivity extends Activity { 


QOverride 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity browsable intent); 
Intent intent - getIntent(); 
Uri uri - intent.getData(); 
if (uri !— null) f 
// Get UserID which is passed by URI parameter 
// *** POINT 2 *** Handle the URL parameter carefull 
y and securely. 
// Omitted, since this is a sample. Please refer to 
"S.2 Handling Input Data Carefully and Securely." 


String userID = "User ID = " + uri.getQueryParameter ( 
"user"); 
TextView tv - (TextView)findViewById(R.id.text useri 
d); 
tv.setText(userID); 
j 
j 


j 
E — mj 


4.7.2 规则 书 
使 用 “可 浏览 的 意图 "时 ， 需 要 遵循 以 下 规则 : 


4.7.2.1 (网 页 端 ) 敏感 信息 不 得 包含 在 相应 链接 的 参数 中 〈 必 
E) 


当 点 击 浏览 器 中 的 链接 时 ， 会 发 出 一 个 意图 ， 该 意图 的 数据 中 有 URL 值 (可 以 通 
过 Intent#getData 获取 ) ， 并 且 带 有 相应 意图 过 滤器 的 应 用 ， 从 Android 系统 
启动 。 


此 时 ， 当 几 个 应 用 设置 意图 过 滤器 来 接收 相同 的 URI 模式 时 ， 应 用 选择 对 话 框 将 显 
示 ， 与 隐 式 意图 正常 启动 相同 ， 并 启动 用 户 选择 的 应 用 。 如 果 应 用 选择 对 话 框 中 列 
出 了 恶意 软件 ， 则 用 户 可 能 会 错误 地 启动 恶意 软件 ， 并 将 URL 中 的 参数 发 送 到 恶 
意 软件 。 


如 上 所 述 ， 需 要 避免 直接 在 URL 参数 中 包含 敏感 信息 ， 因 为 它 用 于 创建 一 般 网 页 
链接 ， 所 有 包含 在 网 页 链接 URL 中 的 参数 都 可 以 提供 给 恶意 软件 。 


用 户 ID 和 密码 包含 在 URL 中 的 例子 : 


insecure://sample/login?userID-12345&password-abcdef 


此 外 ， 即 使 URL 参数 仅 包含 非 敏 感 内 容 ， 如 用 户 ID， 在 由 ' 可 浏览 的 意图 ' 局 动 后 ， 
在 应 用 中 输入 密码 时 ， 用 户 可 能 会 启动 恶意 软件 并 向 其 输入 密码 。 所 以 应 该 考虑 ， 
一 些 规 范 ， 例 如 整个 登录 过 程 ， 在 应 用 端 完成 。 在 设计 应 用 时 必须 记 住 它 ， 并 且 
由 ' 可 浏览 的 意图 ' 启 动 应 用 ， 等 同 于 由 隐 式 意图 启动 ， 并 且 不 保证 启动 了 有 效 的 应 
用 o 


4.7.2.2 小 心 和 安全 地 处 理 URL 参数 (LE) 

发 送 给 应 用 的 URL 参数 ， 并 不 总 是 来 自 合 法 的 Web 页 面 ， 因 为 匹配 URI 模式 链接 
不 仅 可 以 由 开发 者 生成 ， 也 可 以 由 任何 人 生成 。 另外 ， 没 有 方法 可 以 验证 URL A 
数 是 否 从 有 效 网 页 发 送 。 


因此 ， 在 使 用 URL 参数 之 前 ， 有 必要 验证 URL 参数 的 安全 性 ， 例 如 ， 检 查 是 否 包 
含意 外 值 


4.8 输出 到 LogCat 


在 Android 中 有 一 种 名 为 LogCat 的 日 志 机 制 ， 不 仅 系 统 日 志 信 息 ， 还 有 应 用 日 志 
信息 也 会 输出 到 LogCat。 LogCat 中 的 日 志 信息 可 以 从 同一 设备 中 的 其 他 应 用 Pi 
出 [17]， 因 此 向 L ogcat 4 BRAE AE > RA AS RE RA o HR 
信息 不 应 输出 到 LogCat 。 


[17] 输出 到 LogCat 的 日 志 信 息 ， 可 以 由 声明 READ_LOGS 权限 的 应 用 读 取 。 
但 是 ， 在 Android 4.1 及 更 高 版 本 中 ， 无 法 读 取 其 他 应 用 输出 的 日 志 信 息 。 但 
智能 手机 用 户 可 以 通过 ADB ， 阅 读 输出 到 logcat 的 每 个 日 志 信 息 。 


从 安全 角度 来 看 ， 在 发 行 版 应 用 中 ， BAS Rt BEAT BS 。 但 是 ， 即 使 在 发 行 版 
应 用 的 情况 下 ， 在 某 些 情况 下 也 会 出 于 某 种 原因 输出 日 志 。 在 本 章 中 ， 我 们 将 介绍 
一 些 方法 ， 以 安全 的 方式 将 消息 输出 到 LogCat ， 信和 ABR Be 中 也 是 如 此 。 
除 此 解释 外 ， 请 参考 "4.8.3.1 发 行 版 应 用 中 日 志 输 出 的 两 种 思路 ”。 


4.8.1 示例 代码 


接 下 来 是 在 发 行 版 应 用 中 ， 通 过 ProGuard 控制 输出 到 LogCat 的 日 志 的 方法 。 
ProGuard 是 自动 删除 不 需要 的 代码 (如 未 使 用 的 方法 等 ) 的 优化 工具 之 一 。 


android.util.Log 类 有 五 种 类 型 的 日 志 输 出 方法 : Log.e(), Log. E. 
Log.i() , Log. d(), Log.v() 。 对 于 日 志 信 息 ial ee $ A. Cu 
fr g' 操作 日 志 è 8") 应 该 区 分 于 不 适合 发 行 版 应 用 的 信息 (以 下 称 为 开发 日 志 

息 ) ,例如 调试 日 直 志 。 建 议 使 用 Log.e()/w()/i() 输出 操作 日 志 言 息 ， er 

用 Log.d()/v() 输出 开发 日 志 。 正 确 使 用 五 种 日 志 输 出 方法 的 详细 信息 
阅 “4.8.3.2 日 志 级 别 和 日 志 志 输 出 方法 的 先 先 择 标准 "， 另 外 请 参考 "4.8.3.3 调试 日 志 

和 VERBOSE 日 志 并 不 总 是 自动 删除 ”。 


这 是 一 个 以 安全 方式 使 用 LogCat 的 例子 。 此 示例 包括 用 于 输出 调试 日 志 
的 Log.d() 和 Log.v() 。 如 果 应 用 用 于 发 布 ， 这 两 种 方法 将 被 自动 删除 。 在 此 
示例 代码 中 ，ProGuard 用 于 自动 删除 调用 Log.d()/v() 的 代码 块 。 


X: 


1) 敏感 信息 不 能 由 Log.e()/w()/i() * System.out / err 输出 。 

2) 敏感 信息 应 由 Log.d()/v() 在 需要 时 输出 。 

3) 不 应 使 用 Log.d()/v() 的 返回 值 (以 替换 或 比较 为 目的 ) 。 

4) 当 你 构建 应 用 来 发 布 时 ， 你 应 该 在 代码 中 引入 机 制 ， 自 动 删除 不 合适 的 日 志 记 录 
方法 (如 Log.d() 或 Log.v() ) ° 


5) 必须 使 用 发 行 版 构建 配置 来 创建 用 于 (RA) 发 行 的 APK 文件 。 
ProGuardActivity.java 


package org.jssec.android.log.proguard; 


import android.app.Activity; 
import android.os.Bundle; 
import android.util.Log; 


public class ProGuardActivity extends Activity { 
final static String LOG_TAG = "ProGuardActivity"; 


@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity proguard); 
// *** POINT 1 *** Sensitive information must not be out 
put by Log.e()/w()/i(), System.out/err. 
Log.e(LOG TAG, "Not sensitive information (ERROR)"); 
Log.w(LOG TAG, "Not sensitive information (WARN)"); 
Log.i(LOG TAG, "Not sensitive information (INFO)"); 
// *** POINT 2 *** Sensitive information should be outpu 
t by Log.d()/v() in case of need. 

// *** POINT 3 *** The return value of Log.d()/v()should 
not be used (with the purpose of substitution or comparison). 
Log.d(LOG TAG, "sensitive information (DEBUG)"); 

Log.v(LOG TAG, "sensitive information (VERBOSE)"); 


proguard-project.txt 


# prevent from changing class name and method name etc. 
-dontobfuscate 
# *** POINT 4 *** In release build, the build configurations in 
which Log.d()/v() are deleted automatica 
lly should be constructed. 
-assumenosideeffects class android.util.Log { 

public static int d(...); 

public static int v(...); 


要 点 5: 必须 使 用 发 行 版 构建 配置 来 创建 用 于 (发 布 ) 发行 的 APK 文 件 。 
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Figure 4.8-1 How to create release version application 


开发 版 应 用 (调试 版 本 ) 和 发 行 版 应 用 (发 布 版 本 ) 之 间 的 LogCat 输出 差异 如 下 
图 4.8-2 所 示 。 


Development version application (Debug build) Release version application (Release build) 
LogCat N A Search EJ Console Logat 5 4 Search E] Console 


Search for messages. Accepts Jave regexes. Prefix with pid:, app:, ta Search for messages. Accepts Java regexes. Prefix with pid:, app:, tag 


Text Level Tag Text 
ProGuardActivity Not sensitive information (ERROR) 


ProGuardActivity Not sensitive infcrmation (WARN ProGuardAcrivity 


ProGuardActivity Not sensitive information (INFO) I ProGuardActivity Not sensitive information (INFO) 


ProGuardActivity sensitive informaticn (DEBUG) 


ProGuardActivity sensitive information (VERBOSE) 
Figure 4.8-2 Difference of LogCat output 
between development version application and release version application 





4.8.2 规则 书 
输出 消息 记录 时 ， 遵 循 以 下 规则 : 


4.8.2.1 操作 日 IS au a, P 不 能 包含 敏感 信 息 ( Ny [R3 ) 


as LogCat 的 日 志 可 以 从 其 他 应 用 中 读 取 ， 因 此 敏感 信息 (如 用 户 的 登录 信 
a ) 不 应 该 由 发 行 版 应 用 输出 。 在 开发 过 程 中 ， 不 必 编 写 输出 敏感 信息 的 代码 ， 或 
者 在 发 布 之 前 前 需要 删除 所 有 这 些 代码 。 


为 了 遵循 这 个 规则 ， 首 先 ， 不 要 在 操作 日 志 信 息 中 包 感 信 息 。 此 外 ， 建 议 构 建 
系统 ， 在 构建 发 行 版 时 ， $02 ty m ua 
统 ， 在 构建 发 行 版 时 ， 自 动 删除 输出 开发 日 志 信息 的 代码 (推荐) ”。 


4.8.2.2 构建 生成 系统 ， 在 构建 发 行 版 时 ， 自 动 删除 输出 开发 日 志 
言 息 的 代码 (推荐 ) 


NO 


开发 应 用 时 ， 有 时 最 好 将 敏感 信息 输出 到 日 志 中 ， 来 检查 过 程 内 容 和 调试 ， 例 如 复 
杂 逻 辑 过 程 中 的 临时 操作 结果 ， 程 序 内 部 状态 信息 ， 通 信 协 议 的 数据 结构 。 在 开发 
过 程 中 ， 将 敏感 信息 作为 调试 日 志 输 出 并 不 重要 ， 在 这 种 情况 下 ， 相 应 的 日 志 输 出 
代码 应 该 在 发 布 之 前 删除 ， 如 "4.8.2.1 操作 日 志 信 息 中 不 能 包含 敏感 信息 ( 必 

需 ) "所 述 。 


为 了 在 构建 发 行 版 时 ， 确 实 删 除了 输出 开发 日 志 信 息 的 代码 ， 应 该 构建 系统 ， 使 用 
菜 些 工具 自动 执行 代码 删除 。"4.8.1 示例 代码 ”中 介绍 的 ProGuard 可 以 用 于 此 方 
法 。 如 下 所 述 ， 用 ProGuard 删除 代码 有 一 些 值得 注意 的 地 方 。 这 里 应 该 将 系统 用 
于 一 些 应 用 ， 它 通过 Log.d()/ v() 输出 开发 日 志 信息 ， 根 据 "4.8.3.2 日 志 级 别 和 
日 志 输 出 方法 的 选择 标准 ”。 


ProGuard 会 自动 删除 不 需要 的 代码 ， 如 未 使 用 的 方法 。 通 过 指 
定 Log.d()/ v() 作为 -assumenosideeffects 选项 的 参 
数 ，Log.d()， Log.v() 的 调用 被 视 为 不 必要 的 代码 ， 并 且 这 些 代 码 将 被 删除 。 


-assumenosideeffects class android.util.Log { 
public static int d(...); 
public static int v(...); 


如 果 使 用 这 个 自动 删除 系统 ， 请 注意 Log.d() * Log.v() 代码 在 使 用 其 返回 值 
时 不 会 被 删除 ， 因 此 不 应 该 使 用 Log.d() * Log.v() 的 返回 值 。 例 如 ， 下 一 个 
代码 中 的 Log.v() 不 会 被 删除 。 


int i = android.util.Log.v("tag", "message"); 
System.out.println(String.format("Log.v() returned %d. ", i)); / 


/Use the returned value of Log.v() for examination 


如 果 你 想 重 复 使 用 源 代 码 ， 则 应 保持 项 目 环境 的 一 致 性 ， 包 括 ProGuard 设置 。 例 
如 ， 预 设 Log.d() 和 Log.v() 的 源 代 码 将 被 上 面 的 ProGuard 设置 自动 删除 。 
如 果 在 未 设置 ProGuard 的 其 他 项 目 中 使 用 此 源 代 码 ， 则 不 会 删 

除 Log.d() 和 Log.v() ， 因 此 可 能 会 泄露 敏感 信息 。 重用 源 代码 时 ， 应 确保 包 
括 ProGuard 设置 在 内 的 项 目 环 境 的 一 致 性 。 


4.8.2.3 输出 Throwable 对 象 时 ， 使 用 Log.d()/v() (推荐 ) 


如 “4.8.1 示例 代码 "和 “4.8.3.2 日 志 级 别 和 日 志 输 出 方法 的 选择 标准 "中 所 述 ， 输 出 敏 
感 信 息 不 应 通过 Log.e()/w()/i() 输出 来 记录 。 另 一 方面 ， 为 了 使 开发 者 输出 程 
序 异 常 的 细节 来 记录 ， 当 异常 发 生 时 ， 在 某 些 情况 下 ， 堆 栈 踪 迹 通 

过 Log.e(..., Throwable tr)/w(..., Throwable tr)/i(..., Throwable tr’ 
输出 到 LogCat。 但 是 ， 敏 感 信息 有 时 可 能 包含 在 堆栈 踪迹 中 ， 因 为 它 显 示 程 序 的 
详细 内 部 结构 。 例 如， 当 SQLiteException 按 原样 输出 时 ， 会 输出 SQL 语句 的 
类 型 ， 因 此 可 能 会 提供 SQL 注入 攻击 的 线索 。 因此， 建议 在 输出 Throwable 对 
象 时 ， 仅 使 用 Log,d()/v() 方法 。 


4.8.2.4 仅仅 将 android.util.Log 类 的 方法 用 于 日 志 输 出 〈 推 
8) 

在 开发 过 程 中 ， 你 可 以 通过 System.out / err 输出 日 志 ， 来 验证 应 用 的 行为 是 
否 按 预期 工作 。 当然 ， 日 志 可 以 通 

过 System.out / err 的 print()/ println() 方法 输出 到 LogCat， 但 强烈 建 
议 仅 使 用 android.util.Log 类 的 方法 ， 原 因 如 下 。 


在 输出 日 志 时 ， 一 般 根 据 信 息 的 紧急 程度 ， ， 正确 使 用 最 合适 的 输出 方法 ， 并 控制 输 
出 。 例 如 ， 使 用 严重 错误 ， 注意， 简单 应 用 的 信息 通知 等 类 别 。 然而 ， 在 这 种 情 
况 下 ， ,在 发 布 时 需要 输出 的 信息 (操作 日 志 信 息 )， 和 可 以 包括 敏感 信息 (开发 日 
志 信 息 ) 的 信息 ， 通 过 相同 的 方法 输出 。 所 以 ， 当 删除 输出 敏感 信息 的 代码 时 ， 可 
能 会 存在 一 些 删除 操作 被 忽略 掉 的 危险 。 


除 此 之 外 ， 当 使 用 android.util.Log 和 System,out / err 进行 日 志 输 出 时 ， 
与 仅 使 用 android.util.Log 相 比 ， 需 要 考虑 的 因素 会 增加 ， 因 此 可 能 会 出 现 一 
些 错误 ， 比 如 一 些 删 除 被 忽略 掉 了 。 


为 了 减少 上 述 错误 发 生 的 风险 ， 建 议 仅 使 用 android.util.Log 类 的 方法 。 
4.8.3 高 级 话题 


4.8.3.1 发 布 版 应 用 中 日 志 输 出 的 两 种 思路 


发 布 版 应 用 中 有 两 种 思考 日 志 输 出 的 方式 。 一 个 是 任何 日 志 都 不 应 该 输出 ， 另 一 个 
是 用 于 以 后 分 析 的 必要 信息 应 该 作为 日 志 输出 。 从 安全 角度 来 看 ， ， 最 好 是 ， 任 何 日 
志 都 不 应 该 在 发 行 版 应 用 中 输出 ， 但 有 时 候 ， 即 使 在 发 行 版 本 应 用 中 ， 出 于 各 种 原 
因 也 会 输出 日 志 。 每 种 思考 方式 按照 以 下 描述 。 


前 者 是 “任何 日 志 都 不 应 该 输出 *， 这 是 因为 ， 在 发 行 版 应 用 中 输出 日 志 没 有 那么 重 

要 ， 并 且 存 在 泄露 敏感 信息 的 风险 。 这 是 因为 开发 人 员 没 有 办 法 在 Android 应 用 运 
行 环境 中 收集 发 行 版 应 用 的 日 志 信 息 ， 这 与 许多 Web 应 用 的 运行 环境 不 同 。 a 

这 种 思想 ， 日 志 代 码 仅 用 于 开发 阶段 ， 并 且 在 构建 发 行 版 应 用 时 删除 所 有 日 志 

码 。 

后 者 是 “必要 的 信息 应 作为 日 志 输 出 ， 以 供 日 后 分 析 ”， 作 为 客户 支持 中 ， 分 析 应 用 

错误 的 最 终 选 项 ， 以 防 你 的 客户 支持 有 任何 疑问 。 基 于 这 个 想法 ， 如 上 所 述 ， 有 必 
要 准备 系统 来 防止 人 为 错误 并 将 其 引入 到 项 目 中 ， 因 为 如 果 你 没有 系统 ， 则 必须 记 
住 避 免 在 发 行 版 应 用 中 记录 敏感 信息 。 


更 多 日 志方 法 的 信息 ， 请 参考 下 面 的 链接 : 
适用 于 贡献 者 /日 志 的 代码 风格 指南 


http://source.android.com/source/code-style.html#log-sparingly 


4.8.3.2 日 志 级 别 和 日 志 输 出 方法 的 选择 标准 


在 Android 中 的 android.util.Log 类 中 定义 了 五 个 日 志 级 别 

( ERROR ， WARN ， INFO ^ DEBUG ， VERBOSE ) ° f£ 

用 android.util. Log 类 输出 日 志 消 息 时 ， 应 该 选择 最 合适 的 方法 ， 如 表 4.8-1 
所 示 ， 它 展示 了 日 志 级 别 和 方法 的 选择 标准 。 


表 4.8-1 日 志 级 别 和 方法 的 选择 标准 


日 志 级 别 方法 要 输出 的 日 志 信 息 

ERROR Log.e() 应 用 处 于 错误 状态 时 ， 输 出 的 日 志 信 息 

WARN Log.w() 应 用 面临 非 预期 严重 情况 时 ， 和 输出 的 日 志 信 息 
与 上 面 不 同 ， 用 于 提示 应 用 状态 中 任何 值得 注意 的 

INFO Fou 更 改 或 者 结果 


应 用 的 内 部 状态 信息 ， 开 发 应 用 时 ， 需 要 临时 输 


DEBUG Log.d() 出 ， 用 于 分 析 特 定 avs 的 成 因 
不 属于 上 面 任何 一 个 的 日 志 信 息 。 应 用 开发 者 以 多 
VERBOSE Log.v() 种 目的 输出 。 例 如 ， 输 出 服务 器 通信 信息 来 转 储 。 


发 行 版 应 用 的 注意 事项 : 
e/w/i 


志 ee Bw P 4: EXIST VET ANT AGnBESRHTA Se HN 
Be 息 不 应 该 在 这 些 级 别 输出 。 


d/v 
日 志 信 息 仅 适用 于 应 用 开发 人 员 。 因此 ， 这 种 类 型 的 信息 不 应 该 在 发 行 版 的 情况 下 


ay 出 
更 多 日 志方 法 的 信息 ， 请 参考 下 面 的 链接 : 
适用 于 贡献 者 /日 志 的 代码 风格 指南 


http://source.android.com/source/code-style.html#log-sparingly 


4.8.3.3 DEBUG 和 VERBOSE 日 志 并 不 总 是 自动 删除 
以 下 引用 自 android.util.Log 类 [18] 的 开发 人 员 人 参考。 
[18] ttp://developer.android.com/reference/android/util/Log.html 


Ji FR OF oR ALE AMA APE A » Wake Or SES 

zt ERROR * WARN * INFO ° DEBUG ° VERBOSE ° 除了 在 开发 期 间 ， 绝 不 应 
该 将 VERBOSE 编译 进 应 用 。 DEBUG 日 志 被 编译 但 在 运行 时 剥离 。 始终 保 

留 ERROR ， WARN ， INFO 日 志 。 


在 阅读 了 上 述 文章 之 后 ， 一 些 开 发 人 员 可 能 会 误解 Log 类 的 行为 ， 如 下 所 示 。 


e 构建 发 行 版 时 不 编译 Log.v() 调用 ， VERBOSE 日 志 从 不 输出 。 
e 编译 Log.v() 调用 ， 但 执行 时 绝 不 输出 DEBUG 日 志 。 


但 是 ， 日 志 记 录 方 法 从 来 不 会 表现 成 这 样 ， 并 且 无 论 使 用 调试 模式 还 是 发 布 模式 编 
译 ， 都 会 输出 所 有 消息 。 如 果 和 仔细 阅读 文档 ， 你 将 能 够 认识 到 ， 文 档 的 要 点 与 日 志 
方法 的 行为 无 关 ， 而 是 日 志 的 基本 策略 。 


在 本 章 中 ， 我 们 通过 使 用 ProGuard 引入 了 示例 代码 以 获得 上 述 的 预期 结果 。 


` 


4.8.3.4 从 汇编 中 移 除 敏感 信息 


如 果 为 了 删除 Log.d() 方法 而 使 用 ProGuard 构建 以 下 代码 ， 有 必要 记 
住 ， ProGuard 会 保留 为 日 志 信 息 构 造 字符 串 的 语句 (代码 的 第 一 行 ) ， 即 使 它 删 
除了 Log.d() 方法 的 调用 (代码 的 第 二 行 ) 。 


String debug_info = String.format("%s:%s", "Sensitive informatio 
ni", "Sensitive information2"); 
if (BuildConfig.DEBUG) android.util.Log.d(TAG, debug_info); 


以 下 反 汇 编 显 示 了 使 用 ProGuard 发 布 上 述 代码 的 结果 。 实际 上 ， 没 

有 Log.d() 调用 过 程 ， 但 你 可 以 看 到 字符 串 一 致 性 定义 ， 例 

如 Sensitive informationi ， 和 String#format() 方法 的 调用 过 程 ， 不 会 被 
删除 并 仍然 存在 。 


const-string vi, "%s:%s" 

const/4 v2, 0x2 

new-array v2, v2, [Ljava/lang/Object; 
const/4 v3, 0x0 

const-string v4, "Sensitive information 1" 
aput-object v4, v2, v3 

const/4 v3, Ox1 

const-string v4, "Sensitive information 2" 
aput-object v4, v2, v3 

invoke-static (v1, v2}, Ljava/lang/String; ->format(Ljava/lang/St 
ring; [Ljava/lang/Object; )Ljava/lang 
/String; 

move-result-object vO 


实际 上 ， 找 到 反 汇 编 APK 文件 的 组 装 日 志 输 出 信息 特定 部 分 并 不 容易 。 但 是 ， 在 
某 些 处 理 机 蜜 信息 的 应 用 中 ， 这 种 类 型 的 过 程 在 某 些 情况 下 不 应 保留 在 APK 文件 
Po 你 应 该 像 下 面 那 样 实现 你 的 应 用 ， 来 避免 在 字 节 码 中 保留 敏感 信息 的 后 果 。 

在 发 行 版 中 ， 编 译 器 优化 将 完全 删除 以 下 代码 。 


if (BuildConfig.DEBUG) { 

String debug_info = String.format("%s:%s", " Snsitive informatio 
n 1", "Sensitive information 2"); 

if (BuildConfig.DEBUG) android.util.Log.d(TAG, debug info); 


} 


此 外 ，ProGuard 无 法 删除 以 下 日 志 消 息 代码 ("result:" + value) ° 


Log.d(TAG, "result:" + value); 


在 这 种 情况 下 ， 你 可 以 通过 以 下 方式 解决 问题 。 


if (BuildConfig.DEBUG) Log.d(TAG, "result:" + value); 


4.8.3.5 意图 的 内 容 输出 到 了 LogCat 


使 用 活动 时 ， 需 要 注意 ， 因 为 ActivityManager 将 意图 的 内 容 输 出 到 LogCat。 
请 参阅 "4.1.3.5 使 用 活动 时 的 日 志 输 出 ”。 


4.8.3.6 限制 输出 到 system.out / err HAS 


System.out / err 方法 将 所 有 消息 输出 到 LogCat。 即使 开发 者 没有 在 他 们 的 代 
码 中 使 用 这 些 方法 ，Android 也 可 以 向 System.out / err 发 送 一 些 消息 ， 例 如 ， 
在 以 下 情况 下 ，Android 会 将 堆栈 踪迹 发 送 到 System.err 方法 。 


e 使 用 Exception#printStackTrace() 时 
e 隐 式 输出 到 System.err 时 ( 当 异 常 没有 被 应 用 捕获 时 ， 它 会 由 系统 提供 
给 Exception#printStackTrace() ° ) 

你 应 该 适当 地 处 理 错误 和 异常 ， 因 为 堆栈 踪迹 包含 应 用 的 独特 信息 。 
我 们 介绍 一 种 改变 System.out / err 默认 输出 目标 的 方法 。 当 你 构建 发 行 版 应 
用 时 ， 以 下 代码 将 System.out / err 方法 的 输出 重 定向 到 任何 地 方 。 但 是 ， 你 
应 该 考虑 此 重 定向 是 否 会 导致 应 用 或 系统 故障 ， 因 为 代码 会 暂时 窗 
i System.out / err 方法 的 默认 行为 。 此 外 ， 这 种 重 定向 仅 对 你 的 应 用 有 效 ， 
对 系统 进程 毫 无 价值 。 


OutputRedirectApplication.java 


4.8 输出 到 LogCat 


package org.jssec.android.log.outputredirection; 


import java.io.IOException; 
import java.io.OutputStream; 
import java.io.PrintStream; 
import android.app.Application; 


public class OutputRedirectApplication extends Application { 


// PrintStream which is not output anywhere 
private final PrintStream emptyStream = new PrintStream(new 
OutputStream() ( 
public void write(int oneByte) throws IOException { 
// do nothing 
} 


}); 


@Override 
public void onCreate() ( 
// Redirect System.out/err to PrintStream which doesn't 
output anywhere, when release build. 
// Save original stream of System.out/err 
PrintStream savedOut - System.out; 
PrintStream savedErr - System.err; 
// Once, redirect System.out/err to PrintStream which do 
esn't output anywhere 
System.setOut(emptyStream); 
System.setErr(emptyStream); 
// Restore the original stream only when debugging. (In 
release build, the following 1 line is deleted byProGuard.) 
resetStreams(savedOut, savedErr); 
} 


// All of the following methods are deleted byProGuard when 
release. 
private void resetStreams(PrintStream savedOut, PrintStream 
savedErr) { 
System.setOut(savedOut); 
System.setErr(savedErr); 


AndroidManifest.xml 
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<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package="org.jssec.android.log.outputredirection" > 
<application 
android:icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android: name=".OutputRedirectApplication" 
android:allowBackup="false" > 
<activity 
android: name="".LogActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
<action android:name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


————— SSS I 


proguard-project.txt 


# Prevent from changing class name and method name, etc 
-dontobfuscate 
# In release build, delete call from Log.d()/v() automatically. 
-assumenosideeffects class android.util.Log { 

public static int d(...); 

public static int v(...); 
} 
# In release build, delete resetStreams() automatically. 
-assumenosideeffects class org.jssec.android.log.outputredirecti 
on.OutputRedirectApplication { 

private void resetStreams(...); 
} 


开发 版 应 用 (调试 版 ) 和 发 布 版 应 用 (发 行 版 ) 之 间 的 LogCat 输出 差异 如 下 图 
4.8-3 所 示 。 


4.8 输出 到 LogCat 


Development version application (Debug build) 
Œ LogCat :2 4 Search GI Console 





Search for messages. Accepts Java regexes. Prefix with pid:, app:, tag 


Tag Text 

LogActivity Output legs by Log.i() (1st time) 
=æ — m m m 

System. out output logs to System.out 


outeut logs to System.err 
Output logs by Log.i() (2nd time) 


Level 


System.err 
- = æ 


LogActivity 


Release version application (Release build) 
Wlogla 2 
Search for messages. Accepts Java regexes. Prefix with pid:, app:, tag 


Level Tag 
I LogActivity 
I LogActivity 


Output legs by Log.i() (1st time) 
Output logs by Log.i() (2nd time) 





Figure 4.8-3 Difference of System.out/err in LogCat output, 


between development application and release application 
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4.9 使 用 WebView 


WebView 使 你 的 应 用 能 够 集成 HTML / JavaScript 内 容 。 


4.9.1 示例 代码 


我 们 需要 采取 适当 的 行动 ， 具 体 取决 于 我 们 想 通 过 Webview 展示 的 内 容 ， 尽 管 我 
们 可 以 通过 它 轻 松 展 示 网 站 和 html 文件 。 而 且 我 们 还 需要 考虑 来 自 WebView # 
越 功能 的 风险 ; 如 JavaScript-Java AARE > 我 们 特别 需要 关注 JavaScript » 
(请 注意 JavaScript 默认 是 禁用 的 ， 我 们 可 以 通 
过 WebSettings#setJavaScriptEnabled() 来 启用 它 。 局 用 JavaScript 存在 潜 
在 的 风险 ， 即 恶意 第 三 方 可 以 获取 设备 信息 并 操作 设备 。 以 下 是 使 用 WebView 
[19] 的 应 用 的 原则 : 
[19] 严格 地 说 ， 如 果 我 们 可 以 说 内 容 是 安全 的 ， 你 可 以 启用 JavaScript: 如 果 
内 容 是 在 内 部 管理 的 ， 则 内 容 应 该 保证 安全 。 公司 可 以 保护 他 们 。 换 句 话 
说 ， 我 们 需要 让 企业 代表 的 决策 ， 来 为 其 他 公司 的 内 容 启 用 JavaScript。 由 可 
信 伙 伴 开 发 的 内 容 可 能 会 有 安全 保证 。 但 仍 有 潜在 风险 。 因此， 负责 人 需 
作出 决定 。 
(1) 如 果 应 用 使 用 内 部 管理 的 内 容 ， 则 可 以 启用 JavaScript 。 
(2) 除 上 述 情 况 外 ， 你 不 应 启用 JavaScript » 


图 4.9-1 显示 了 根据 内 容 特 征 选 择 示例 代码 的 流程 图 。 






Application only accesses to 
contents stored 
in the apk only? 












Application only accesses to 
contents which are managed 
in-house onlyY? 


Yes 
Show contents stored Show contents which are managed Show untrusted contents 
under assets/ and res/ in the apk in-house only (Required to take proper action) 


Figure 4.9-1 Flow Figure to select Sample code of WebView 








4.9.1.1 仅 显 示 存 储 在 APK 中 的 assets / res 目录 下 的 内 容 


如 果 你 的 应 用 仅 显 示 存 储 在 apk 中 assets/ 和 res/ 目录 下 的 内 容 ， 则 可 以 启用 
JavaScript ° 


以 下 示例 代码 展示 了 ， 如何 使 用 webView 显示 存储 在 assets/ 和 res/ 下 的 内 


Zo 
要 点 : 

1) 禁止 访问 文件 (apk 文件 中 的 assets/ 和 res/ 下 的 文件 除外 ) 。 
2) 你 可 以 启用 JavaScript 。 

WebViewAssetsActivity.java 


package org.jssec.webview.assets; 


import android.app.Activity; 
import android.os.Bundle; 

import android.webkit .WebSettings; 
import android.webkit .WebView; 


public class WebViewAssetsActivity extends Activity { 


(iris 
* Show contents in assets 
a 
@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
WebView webView - (WebView) findViewById(R.id.webView); 
WebSettings webSettings - webView.getSettings(); 
// *** POINT 1 *** Disable to access files (except files 
under assets/ and res/ in this apk) 
webSettings.setAllowFileAccess(false); 
// *** POINT 2 *** Enable JavaScript (Optional) 
webSettings.setJavaScriptEnabled(true); 
// Show contents which were stored under assets/ in this 
apk 
webView.loadUrl("file:///android asset/sample/index.html" 





4.9.1.2 仅 显 示 内 部 管理 的 内 容 


只 有 当 你 的 网 络 服务 和 你 的 Android 应 用 可 以 采取 适当 措施 来 保护 它们 时 ， 你 才 可 
以 启用 JavaScript 来 仅仅 显示 内 部 管理 的 内 容 。 


Web 服务 端 操 作 : 如 图 4.9-2 所 示 ， 你 的 Web 服务 只 能 引用 内 部 管理 的 内 容 。 另 
外 ，Web 服务 需要 采取 适当 的 安全 措施 。 因为 你 的 网 络 服务 涉及 的 内 容 可 能 存在 
风险 ， 因 此 存在 潜在 风险 ; 如 恶意 攻击 代码 注入 ， ， 数 据 操作 等 。 请 参阅 “4.9.2.1 4x 
在 内 容 由 内 部 管理 时 启用 JavaScript (必需 ) ”。 


的 Web 服务 建立 网 络 连接 。 


以 下 示例 代码 是 一 个 活动 ， 展 示 了 内 部 管理 的 内 容 。 





In-house services B Ci 
— 


Reference relationship of contents 





Access by application 


> 
© Not allowed 








Android Device 






上 Services which are NOT | 
& managed IN HOUSE 


Services/Contents 
in Internet 


Figure 4.9-2 Accessible contents and Non-accessible contents from application 


要 点 : 

1) 适当 处 理 来 自 WebView 的 SSL 错误 。 
2) (可 选 ) 启用 WebView 的 JavaScript ° 
3) 将 URL 限制 为 HTTPS 协议 。 

4) 将 URL 限制 在 内 部 。 


WebViewTrustedContentsActivity.java 


package org.jssec.webview.trustedcontents; 


import android.app.Activity; 





import android.app.AlertDialog; 

import android.content.DialogInterface; 
import android.net.http.SslCertificate; 
import android.net.http.SslError; 
import android.os.Bundle; 

import android.webkit.SslErrorHandler; 
import android.webkit.WebView; 

import android.webkit.WebViewClient; 
import java.text.SimpleDateFormat; 


public class WebViewTrustedContentsActivity extends Activity ( 


QOverride 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
WebView webView - (WebView) findViewById(R.id.webView); 
webView.setWebViewClient(new WebViewClient() { 
QOverride 
public void onReceivedSslError(WebView view, 
SslErrorHandler handler, SslError error) { 
// *** POINT 1 *** Handle SSL error from WebView 


appropriately 
// Show SSL error dialog. 
AlertDialog dialog = createSslErrorDialog(error ) 
dialog.show(); 
// *** POINT 1 *** Handle SSL error from WebView 
appropriately 


// Abort connection in case of SSL error 

// Since, there may be some defects in a certifi 
cate like expiration of validity, 

// or it may be man-in-the-middle attack. 

handler.cancel(); 


} 
}); 
// *** POINT 2 *** Enable JavaScript (optional) 
// in case to show contents which are managed in house. 
webView.getSettings().setJavaScriptEnabled(true); 
//-*5* pOINI-3 *^^ Restruict URLS to HT TIPS protocol only 
// *** POINT 4 *** Restrict URLs to in-house 
webView.loadUrl("https://url.to.your.contents/"); 


} 


private AlertDialog createSslErrorDialog(SslError error) { 
// Error message to show in this dialog 
String errorMsg = createErrorMessage(error); 
// Handler for OK button 
DialogInterface.OnClickListener onClickOk = new DialogIn 
terface.OnClickListener() { 
QOverride 
public void onClick(DialogInterface dialog, int whic 


DE! 


setResult(RESULT OK); 
} 
}; 
// Create a dialog 
AlertDialog dialog = new AlertDialog.Builder( 
WebViewTrustedContentsActivity.this).setTitle("SSL conne 
ction error") 
.setMessage(errorMsg).setPositiveButton("OK", onClic 
kok) 
.create(); 
return dialog; 


} 


private String createErrorMessage(SslError error) { 
SslCertificate cert = error.getCertificate(); 
SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy 
/MM/dd HH:mm:ss"); 
StringBuilder result - new StringBuilder() 
.append("The site's certification is NOT valid. Conn 
ection was disconnected.XnXnError:Xn"); 
switch (error.getPrimaryError()) { 
case SslError.SSL EXPIRED: 
result.append("The certificate is no longer vali 
d.¥n¥nThe expiration date is ") 
.append(dateFormat.format(cert.getValidNotAf 
terDate())); 
return result.toString(); 
case SslError.SSL IDMISMATCH: 
result.append("Host name doesn't match. ¥n¥nCN=" 


.append(cert.getIssuedTo().getCName()); 
return result.toString(); 
case SslError.SSL NOTYETVALID: 
result.append("The certificate isn't valid yet.¥ 
nXnIt will be valid from ") 
.append(dateFormat.format(cert.getValidNotBe 
foreDate())); 
return result.toString(); 
case SslError.SSL UNTRUSTED: 
result.append("Certificate Authority which issue 
d the certificate is not reliable.¥n¥nCertificate Authority¥n") 
.append(cert.getIssuedBy().getDName()); 
return result.toString(); 
default: 
result.append("Unknown error occured. "); 
return result.toString(); 


4.9.1.3 显示 非 内 部 管理 的 内 容 


如 果 你 的 应 用 显示 的 内 容 不 在 内 部 管理 ， 请 勿 启用 JavaScript， 因 为 存在 访问 恶意 
Pj 2-85 78 在 风险 9 


以 下 示例 代码 是 显示 非 内 部 管理 的 内 容 的 活动 。 


此 示例 代码 显示 由 用 户 通 过 地 址 栏 输入 的 URL 指定 的 内 容 。 请 注意 ， 当 
JavaScript 错误 发 生 时 ，JavaScript 被 禁用 并 且 连 接 中 止 。HTTPS 通信 E E 
| astu IESUS. 阅 “5.4 通 
HTTPS 进行 通信 ”。 


要 点 : 
1) 适当 处 理 来 自 WebView 的 SSL 错误 。 
2) 禁用 webview 的 JavaScript 。 


WebViewUntrustActivity.java 


package org.jssec.webview.untrust; 


import android.app.Activity; 

import android.app.AlertDialog; 

import android.content.DialogInterface; 
import android.graphics.Bitmap; 

import android.net.http.SslCertificate; 
import android.net.http.SslError; 
import android.os.Bundle; 

import android.view.View; 

import android.webkit.SslErrorHandler; 
import android.webkit.WebView; 

import android.webkit.WebViewClient; 
import android.widget.Button; 

import android.widget.EditText; 

import java.text.SimpleDateFormat; 


public class WebViewUntrustActivity extends Activity { 


P5 

* Show contents which are NOT managed in-house (Sample progr 
am works as a simple browser) 

E 

private EditText textUrl; 

private Button buttonGo; 

private WebView webView; 


// Activity definition to handle any URL request 
private class WebViewUnlimitedClient extends WebViewClient { 
QOverride 
public boolean shouldOverrideUrlLoading(WebView webView, 
String up t 
webView.loadUrl(url); 
textUrl.setText(url); 
return true; 


} 


// Start reading Web page 
@Override 
public void onPageStarted(WebView webview, String url, B 


itmap favicon) ( 


buttonGo.setEnabled(false); 
textUrl.setText(url); 


} 


// Show SSL error dialog 
// And abort connection. 
@Override 
public void onReceivedSslError(WebView webview, 
SslErrorHandler handler, SslError error) { 
// *** POINT 1 *** Handle SSL error from WebView app 


ropriately 

AlertDialog errorDialog = createSslErrorDialog(error 
); 

errorDialog.show(); 

handler.cancel(); 

textUrl.setText(webview.getUrl()); 

buttonGo.setEnabled(true); 

} 


// After loading Web page, show the URL in EditText. 
QOverride 
public void onPageFinished(WebView webview, String url) 


textUrl.setText(url); 
buttonGo.setEnabled(true); 


QOverride 
public void onCreate(Bundle savedInstanceState) { 


super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 

webView - (WebView) findViewById(R.id.webview); 
webView.setWebViewClient(new WebViewUnlimitedClient()); 
// *** POINT 2 *** Disable JavaScript of WebView 

// Explicitly disable JavaScript even though it is disab 


led by default. 


webView.getSettings().setJavaScriptEnabled(false); 
webView.loadUrl(getString(R.string.texturl)); 
textUrl - (EditText) findViewById(R.id.texturl); 
buttonGo - (Button) findViewById(R.id.go); 


public void onClickButtonGo(View v) ( 


webView.loadUrl(textUrl.getText().toString()); 


private AlertDialog createSslErrorDialog(SslError error) { 
// Error message to show in this dialog 
String errorMsg - createErrorMessage(error); 
// Handler for OK button 
DialogInterface.OnClickListener onClickOk - new DialogIn 
terface.OnClickListener() ( 
QOverride 
public void onClick(DialogInterface dialog, int whic 


n) { 
setResult(RESULT OK); 
} 
}; 
// Create a dialog 
AlertDialog dialog = new AlertDialog.Builder( 
WebViewUntrustActivity.this).setTitle("SSL connectio 
In error 4) 
.setMessage(errorMsg).setPositiveButton("OK", onClic 
kok) 
.create(); 
return dialog; 
} 


private String createErrorMessage(SslError error) { 
SslCertificate cert = error.getCertificate(); 
SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy 
/MM/dd HH:mm:ss"); 
StringBuilder result = new StringBuilder ( ) 
.append("The site's certification is NOT valid. Conn 
ection was disconnected.XnXnError:Xn"); 
switch (error.getPrimaryError()) { 
case SslError.SSL EXPIRED: 
result.append("The certificate is no longer vali 
d.¥n¥nThe expiration date is ") 
.append(dateFormat.format(cert.getValidNotAf 
terDate())); 
return result.toString(); 
case SslError.SSL IDMISMATCH: 
result.append("Host name doesn't match. ¥n¥nCN=" 


.append(cert.getIssuedTo().getCName()); 
return result.toString(); 
case SslError.SSL NOTYETVALID: 
result.append("The certificate isn't valid yet.¥ 
nXnIt will be valid from ") 
.append(dateFormat.format(cert.getValidNotBe 
foreDate( ))); 
return result.toString(); 
case SslError.SSL UNTRUSTED: 
result.append("Certificate Authority which issue 
d the certificate is not reliable.¥n¥nCertificate Authority¥n") 
.append(cert.getIssuedBy().getDName()); 
return result.toString(); 
default: 


result.append("Unknown error occured. "); 
return result.toString(); 


4.9.2 规则 书 


当 你 需要 时 候 WebView 时 ， 遵 循 下 列 规则 : 


4.9.2.1 只 在 内 容 由 内 部 管理 时 启用 JavaScript (必需 ) 


对 于 WebView 我 们 需要 关注 的 是 是 否 启 用 JavaScript» 原则 上 ， 只 有 当 应 用 访问 
内 部 管理 的 服务 时 ， 我 们 才能 启用 JavaScript。 如 果 有 可 能 访问 非 内 部 管理 的 服 
务 ， 则 不 得 启用 JavaScript 。 


内 部 管理 的 服务 
eee n ind ea yale > 我们 可 以 说 这 些 内 
司 修改 。 另 外 ， 需要 仅仅 引用 存储 在 服务 器 中 的 内 容 ， 它 们 
具有 适 全 性 。 


在 这 种 情况 下 ， 我 们 可 以 在 WebView 上 启用 JavaScript » 请 参阅 “4.9.1.2 仅 显 示 
内 部 管理 的 内 容 ”。 


如 果 你 的 应 用 仅 显示 存储 在 apk 中 assets/ 和 res/ 目录 下 的 内 容 ， 你 也 可 以 局 
用 JavaScript。 请 参阅 “4.9.1.1 仅 显 示 存 储 在 assets / res 目录 下 的 内 容 ”。 


非 内 部 管理 的 服务 


你 绝 不 能 认为 ， 你 可 以 确保 非 内 部 管理 的 内 容 的 安全 性 。 因此 你 必须 禁用 
JavaScript。 请 参阅 “4.9.1.3 显示 非 内 部 管理 的 内 容 ”。 


另外 ， 如 果 内 容 存 储 在 外 部 存储 介质 中 ， 如 microSD， 则 必须 禁用 JavaScript : 
为 其 他 应 用 可 以 修改 内 容 。 
4.9.2.2 使 用 HTTPS 与 内 部 管理 的 服务 器 进行 通信 (LE) 


你 必须 使 用 HTTPS 与 内 部 管理 的 服务 器 通信 ， 因 为 存在 恶意 第 三 方 欺 骗 服务 的 漆 
在 风险 。 


i5 4 "4.9.2.4 正确 处 理 SSL 错误 (必需) "和 "5.4 通过 HTTPS 通信 ”。 
4.9.2.3 禁用 JavaScript 来 显示 通过 意图 接收 的 URL (必需 ) 


如 果 你 的 应 用 需要 显示 从 其 他 应 用 ， 以 意图 等 形式 传递 的 URL， 则 不 要 启用 
JavaScript。 因 为 存在 用 恶意 JavaScript 显示 恶意 网 页 的 潜在 风险 。 


"4.9.1.2 仅 显示 内 部 管理 的 内 容 " 部 分 中 的 示例 代码 ， 使 用 固定 值 URL 显示 内 部 管 
理 的 内 容 来 确保 安全 。 
如 果 你 需要 显示 从 意图 收 到 的 URL， 则 必须 确认 该 URL 在 内 部 管理 的 URL F o 


简 而 言 之 ， 应 用 必须 使 用 正则 表达 式 等 白 名 单 来 检查 URL。 另 外 ， 它 应 该 是 
HTTPS 。 


4.9.2.4 适当 处 理 SSL 错误 (必需 ) 


当 HTTPS 通信 发 生 SSL 错误 时 ， 你 必须 终止 网 络 通信 并 通知 用 户 错误 。 


SSL 错误 显示 了 无 效 的 服务 器 认证 风险 或 MTIM (中 间 人 攻击 ) 风险 。 请 注 

意 ， WebView 没有 SSL 错误 的 错误 通知 机 制 。 因此 ， 你 的 应 用 必须 显示 错误 通 
知 ， 来 向 用 户 通知 风险 。 请 参阅 人 4.9.1.2 仅 显 示 内 部 管理 的 内 容 " 和 “4.9.1.3 显示 非 
内 部 管理 的 内 容 " 一 节 中 的 示例 代码 。 


另外 ， 你 的 应 用 必须 终止 带 有 错误 通知 的 通信 。 换 名 话说， 你 不 可 以 这 样 做 。 


© 忽略 错误 来 与 服务 保持 通信 。 
e E HTTP 通信 而 不 是 HTTPS © 


请 参阅 "5.4 通过 HTTPS 进行 通信 ”中 所 述 的 详细 信 ， 


WebView 的 默认 行为 是 ， 发生 SSL 错误 时 终止 通信 。 因此 ， 我 们 需要 添加 显示 
SSL 错误 通知 。 然后 我 们 可 以 正确 处 理 SSL 错误 。 


guy 


o 


4.9.3 高 级 话题 


4.9.3.1 Android 4.1 或 更 低 版 本 中 
由 addJavascriptInterface() 引起 的 漏洞 


4.2 (API Level 17) 版 本 以 下 的 Android » HA 
 addJavascriptinterface() 引起 的 漏洞 ， 这 可 能 允许 攻击 者 通 
过 WebView 上 的 JavaScript 调用 Android 本 地 方法 (Java) 。 


正如 “4.9.2.1 只 在 内 容 由 内 部 管理 时 启用 JavaScript" 中 所 述 ， 如 果 服 务 可 以 访问 内 
部 控制 之 外 的 服务 ， 则 不 得 启用 JavaScript ° 


在 Android 4.2 (API Level 17) 或 更 高 版 本 中 ， 已 采取 措施 ， 将 漏洞 限制 为 在 
Java 源 代 码 上 使 用 @JavascriptInterface 注释 的 方法 ， 而 不 是 所 有 注入 的 
Java 对 象 的 方法 。 但 是 ， 如 果 服 务 可 以 访问 内 部 控制 之 外 的 服务 ， 则 必须 禁用 
JavaScript， 像 “4.9.2.1” 中 提 到 的 那样 。 


4.9.3.2 由 文件 模式 导致 的 问题 


如 果 使 用 默认 设置 的 WebView ， 应 用 具有 访问 权限 的 所 有 文件 ， 都 可 以 通过 在 网 
页 中 通过 文件 模式 访问 ， 而 无 论 页 面 的 来 源 如 何 。 例 如， 恶意 网 页 可 以 通过 使 用 文 
件 模式 ， 向 应 用 的 私有 文件 的 URI 发 送 请 求 ， 来 访问 存储 在 应 用 私有 目录 中 的 文 


件 。 


如 果 服 务 可 以 访问 内 部 控制 之 外 的 服务 ， 则 禁用 JavaScript 的 方法 如 “4.9.2.1 只 在 
内 容 由 内 部 管理 时 启用 JavaScript (2535) "中 所 述 。 这 样 做 是 为 了 防止 发 送 恶意 
文件 模式 请 求 。 


同样 在 Android 4.1 (API Level 16) 或 更 高 版 本 的 情况 下 ， 可 以 使 
用 setAllowFileAccessFromFileURLs() 和 setAllowUniversalAccessFromFil 
来 限制 通过 文件 模式 的 访问 。 


禁用 文件 模式 


webView = (WebView) findViewById(R.id.webview) ; 
webView. setWebViewClient (new WebViewUnlimitedClient()); 
WebSettings settings = webView.getSettings(); 
settings.setAllowUniversalAccessFromFileURLs(false); 
settings.setAllowFileAccessFromFileURLs(false); 


4.9.3.3 使 用 Web 消息 时 指定 发 送 者 的 来 源 


Android 6.0 (API Level 23) 增加 了 一 个 API， 用 于 实现 HTML5 Web 消息 传送 。 
Web 消息 传送 是 一 种 在 HTML5 中 定义 的 框架 ， 用 于 在 不 同 的 浏览 上 下 文 之 间 ， 发 
送 和 接收 数据 [20]。 添 加 到 webview 类 的 postwebMessage() 方法 是 一 种 方法 ， 
通过 Web 消息 传送 定义 的 跨 域 消息 传送 协议 处 理 数据 传输 。 


[20] http://www.w3.org/TR/webmessaging/ 


此 方法 从 webView 已 读 入 的 浏览 上 下 文中 发 送 一 个 消息 ， 该 消息 由 其 第 一 个 参数 

Hx 然而 ， 在 这 种 情况 下 ， 有 必要 指定 发 送 者 的 来 源 作 为 第 二 个 参数 。 如 果 指 定 
的 来 源 [21] 与 发 送 者 上 下 文中 的 来 源 不 符 ， 则 不 会 发 送 该 消息 。 通过 以 这 种 方式 
限制 发 送 者 来 源 ， 此 机 制 旨 在 防止 消息 传递 给 非 预期 发 送 者 。 


[21] 来源? 是 一 个 URL 模式 以 及 一 个 主机 名 和 端口 号 。 详细 定义 请 参阅 
http://tools.ietf.org/html/rfc6454 ° 


但 是 ， 重 要 的 是 要 注意 ， 通 配 符 可 能 被 指定 为 postwebMessage() 方法 中 的 来 源 
[22]。 如 果 指 定 了 通配符 ， 则 不 会 检查 消息 的 发 送 者 来 源 ， 并 且 可 以 从 任意 来 源 发 
送 消息 。 在 恶意 内 容 已 被 读 入 WebView 的 情况 下 ， 如 果 发 送 重要 消息 时 没有 来 源 
限制 ， 则 可 能 导致 各 种 类 型 的 损害 。 因此 ， 在 使 用 webview 进行 Web 消息 传递 
时 ， 最 好 在 postwebMessage() 方法 中 明确 指定 特定 的 源 。 


[22] 请 注意 ， 通 配 符 是 Uri.EMPTY 和 Uri.parse("") (在 编写 2016 年 9 
月 1 日 的 版 本 时 ) 。 


4.10 使 用 通知 


Android 提供 用 于 向 最 终 用 户 发 送 消息 的 通知 功能 。 使 用 通知 会 使 一 个 称 为 状态 栏 
的 区 域 出 现在 屏幕 上 ， 你 可 以 在 其 中 显示 图 标 和 消息 。 
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Notification : Private 


Visibility Private : Including user info 





在 Android 5.0 (API Level 21) 中 增强 了 通知 的 通信 功能 ， 即 使 在 屏幕 锁定 时 也 可 
以 通过 通知 显示 消息 ， 具 体 取决 于 用 户 和 应 用 设置 。 但 是 ， 不 正确 地 使 用 通知 ， 会 
导致 私人 信息 (只 应 向 最 终 用 户 自己 显示 ) 可 能 会 被 第 三 方 看 到 。 出 于 这 个 原因 ， 
必须 谨 懂 地 注意 隐私 和 安全 性 来 实现 此 功能 。 


下 表 中 总 结 了 可 见 性 选项 的 可 能 值 和 通知 的 相应 行为 。 


性 通知 行为 

的 

值 

N 

学 。 ”通知 会 显示 在 所 有 锁定 屏幕 上 

通知 显示 在 所 有 锁定 的 屏幕 上 ; 然而 ， 在 被 密码 保护 的 锁定 屏幕 上 ( 安 
A) ， 通 知 的 标题 和 文本 等 字段 是 隐藏 的 (由 公开 可 释放 消息 取代 ， 


有 私有 信息 是 隐藏 的 ) 
秘 ”通知 不 会 显示 在 受 密码 或 其 他 安全 措施 (安全 锁 ) 保护 的 锁定 屏幕 上 。 
a (通知 显示 在 不 涉及 安全 锁 的 锁定 屏幕 上 。) 


4.10.1 示例 代码 


当 通 知 包 含有 关 最 终 用 户 的 私人 信息 时 ， 必 须 从 中 排除 了 私人 信息 ， 之 后 才能 添加 
到 锁定 屏幕 来 显示 。 


™ Notification : Public 
È E Visibilly 


Public Omitbag sensie da 





Figure 4.10-2 A notification on a locked screen 


下 面 展 示 了 示例 代码 ， 说 明了 如 何 正确 将 通知 用 于 包含 私人 数据 的 消息 。 


1) 将 通知 用 于 包含 私人 数据 的 消息 ， 请 准备 适合 公开 显示 的 通知 版 本 (屏幕 锁定 时 


2) 不 要 在 公开 显示 的 通知 中 包含 隐私 信息 (屏幕 锁定 时 显示 ) 。 
3) 创建 通知 时 将 可 见 性 显示 设置 为 私有 。 
4) 当 可 见 性 设置 为 私有 时 ， 通 知 可 能 包含 私人 信息 。 


VisibilityPrivateNotificationActivity.java 


package org.jssec.notification.visibilityPrivate; 


import android.app.Activity; 

import android.app.Notification; 

import android.app.NotificationManager ; 
import android.content.Context; 

import android.os.Build; 

import android.os.Bundle; 

import android.view.View; 


public class VisibilityPrivateNotificationActivity extends Activ 
ity { 


[re 

* Display a private Notification 

n 

private final int mNotificationId - 0; 

@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 


j 


public void onSendNotificationClick(View view) { 

// *** POINT 1 *** when preparing a Notification that in 
cludes private information, prepare an additional Noficiation fo 
r public display (displayed when the screen is locked). 

Notification.Builder publicNotificationBuilder - new Not 
ification.Builder(this).setContentTitle("Notif 

ication : Public"); 

if (Build.VERSION.SDK INT »- 21) 

publicNotificationBuilder.setVisibility(Notification 
. VISIBILITY PUBLIC); 
// *** POINT 2 *** Do not include private information in 
Notifications prepared for public display (displayed when the s 
creen is locked). 
publicNotificationBuilder.setContentText("Visibility Pub 
lic : Omitting sensitive data."); 
publicNotificationBuilder.setSmallIcon(R.drawable.ic lau 
ncher); 

Notification publicNotification - publicNotificationBuil 
der.build(); 

// Construct a Notification that includes private inform 
ation. 

Notification.Builder privateNotificationBuilder - new No 
tification.Builder(this).setContentTitle("Notification : Private 
"); 

// *** POINT 3 *** Explicitly set Visibility to Private 
when creating Notifications. 

if (Build.VERSION.SDK_INT >= 21) 

privateNotificationBuilder.setVisibility(Notificatio 
n.VISIBILITY PRIVATE); 


// *** POINT 4 *** when Visibility is set to Private, No 
tifications may contain private information. 


privateNotificationBuilder.setContentText("Visibility Pr 
ivate : Including user info."); 
privateNotificationBuilder.setSmalllIcon(R.drawable.ic la 
uncher); 
// When creating a Notification with Visibility-Private, 
we also create and register a separate 
Notification with Visibility-Public for public display. 
if (Build.VERSION.SDK INT »- 21) 
privateNotificationBuilder.setPublicVersion(publicNo 
tification); 
Notification privateNotification - privateNotificationBu 
ilder.build(); 
//Although not implemented in this sample code, in many 
cases 
//Notifications will use setContentIntent(PendingIntent 
intent) 
//to ensure that an Intent is transmission when Notifica 
tion 
//is clicked. In this case, it is necessary to take step 
S- depending 
//on the type of component being called--to ensure that 
the Intent 
//in question is called by safe methods (for example, by 
explicitly 
//using Intent). For information on safe methods for cal 
ling various 
//types of component, see the following sections. 
//4.1. Creating and using Activities 
//4.2. Sending and receiving Broadcasts 
//4.4. Creating and using Services 
NotificationManager notificationManager - (NotificationM 
anager) this.getSystemService(Context.NOTIFICATION SERVICE); 
notificationManager.notify(mNotificationlId, privateNotif 
ication); 
j 
j 


4.10.2 规则 35 

创建 通知 时 ， 应 该 遵循 下 列 规则 : 

4.10.2.1 无 论 可 见 性 设置 如 何 ， 通 知 都 不 得 包含 敏感 信息 (尽管 
私有 信息 是 例外 情况 ) (必需 ) 

在 使 用 Android 4.3 (API 级别 18) 或 更 高 版 本 的 终端 上 ， 用 户 可 以 使 用 “设置 " 窗 

口 ， 授 了 予 应 用 读 取 通知 的 权限 。 获得 此 权限 的 应 用 将 能 够 读 取 通知 中 的 所 有 信息 ; 


因此 ， 通 知 中 不 得 包含 敏感 信息 。 (但 是 ， 根 据 “ 可 见 性 "设置 ， 通 知 中 可 能 会 包含 
私有 信息 ) © 


通知 中 包含 的 信息 通常 不 会 被 发 送 通知 的 应 用 以 外 的 应 用 读 取 。 但是， 用 户 可 以 明 
确 将 权限 授予 某 些 用 户 选择 的 应 用 ， 来 读 取 通 知 中 的 所 有 信息 。 因为 只 有 用 户 已 授 
予 权 限 的 应 用 才能 读 取 通 知 中 的 信息 ， 所 以 在 通知 中 包含 用 户 的 私有 信息 没有 任何 
问题 。 另 一 方面 ， 如 果 在 通知 中 包括 除 了 用 户 的 私有 信息 之 外 的 敏感 信息 (例如 ， 
仅 由 应 用 开发 者 知道 的 秘密 信息 ) , dpi 自己 可 以 尝试 读 取 通知 中 包含 的 信息 ， 
并 且 可 以 授予 应 用 权限 来 查看 这 些 信息 ; 因此 包含 私有 用 户 信 息 以 外 的 敏感 信息 是 
有 问题 的 。 


特定 方法 和 条 件 请 见 “4.10.3.1 用 户 授予 的 查看 通知 的 权限 ”。 


4.10.2.2 可 见 性 为 公共 的 通知 ， 不 能 包含 私有 信息 (必需 ) 


在 发 送 可 见 性 为 公共 的 通知 时 ， 私 有 用 户 信 wee 在 通知 中 。 
为 公开 时 ， 即 使 屏幕 被 锁定 ， 通 知 中 的 信息 也 会 这 是 因为 这 种 通知 存在 风 
险 ， 私 密 信 息 可 能 被 第 三 方 物理 邻近 的 终端 看 到 BAR. 


VisibilityPrivateNotificationActivity.java 


// Prepare a Notification for public display (to be displayed on 
locked screens) that does not contain sensitive information 
Notification.Builder publicNotificationBuilder - new Notificatio 
n.Builder(this).setContentTitle("Notification : Public"); 
publicNotificationBuilder.setVisibility(Notification.VISIBILITY 
PUBLIC); 
// Do not include private information in Notifications for publi 
c display (to be displayed on locked screens) 
publicNotificationBuilder.setContentText("Visibility Public: sen 
ding notification without sensitive information "); 
publicNotificationBuilder.setSmallIcon(R.drawable.ic launcher); 


4.10.2.3 对 于 包含 私有 信息 的 通知 ， 可 见 性 必须 显 式 设置 为 私有 
或 秘密 (必需 ) 


即使 屏幕 锁定 ， 使 用 Android 5.0 (API Level 21) 或 更 高 版 本 的 终端 也 会 
知 。 因 此 ， 当 通知 包含 私有 信息 时 ， 其 可 见 性 标志 应 显 式 设 i s o E 
是 为 了 防止 通知 中 包含 的 私有 信息 显示 在 锁定 屏幕 上 。 


目前 ， 可 见 性 的 默认 值 被 设置 为 私有 ， 所 以 前 述 风 险 只 有 在 该 标志 显 式 变 为 公共 时 

才 会 出 现 。 但 是 ， 可 见 性 的 默认 值 可 能 会 在 未 来 发 生变 化 ; Rue 因 ， 并 且 为 

了 在 处 理 信 息 时 始终 清楚 地 表达 意图 ， 必 须 对 包含 私有 信息 的 通知 ， 将 可 见 性 显 式 
设置 为 私有 。 


VisibilityPrivateNotificationActivity.java 


// Create a Notification that includes private information 

Notification.Builder priavteNotificationBuilder = new Notificati 

on.Builder(this).setContentTitle("Notification : Private"); 

// *** POINT *** Explicitly set Visibility=Private when creating 
the Notification 

priavteNotificationBuilder.setVisibility(Notification.VISIBILITY 

. PRIVATE); 


私有 信息 的 典型 示例 包括 发 送 给 用 户 的 电子 邮件 ， 用 户 的 位 置 数据 ， 以 及 “5.5 处 理 
隐私 数据 ?部 分 列 出 的 其 他 项 目 。 


在 使 用 Android 4.3 (API 级别 18) 或 更 高 版 本 的 终端 上 ， 用 户 可 以 使 用 “设置 " 窗 
口 ， 授 予 应 用 读 取 通 知 的 权限 ， TAARNA HUN ERA 知 中 的 所 有 信息 ; 
因此 ， 除 私有 用 户 信息 以 外 的 敏感 信息 不 得 包含 在 通知 中 。 


4.10.2.4 使 用 可 见 性 为 私有 的 通 前 知 ， 创 建 可 见 性 为 公共 的 额外 通 
知 用 于 展示 (推荐) 


当 传递 可 见 性 为 私有 的 信 息 时 ， 最 好 同时 创建 一 个 额外 的 通知 ， 用 于 公开 展示 ， 它 
的 可 见 性 为 公开 ; 这 是 为 了 限制 锁 定 屏幕 上 显示 的 信 ws © 


如 果 公 开 显 示 的 通知 未 与 可 见 性 为 私有 的 通知 一 起 注册 ， 则 在 屏幕 锁定 时 将 显示 由 
a coc p uc ae ee 问题 。 但 是 ， 为 了 在 处 理 
信息 时 始终 清晰 地 表达 意图 ， 建 议 显示 创建 并 注册 公开 显示 的 通知 。 


VisibilityPrivateNotificationActivity.java 


// Create a Notification that contains private information 

Notification.Builder privateNotificationBuilder = new Notificati 

on.Builder(this).setContentTitle("Notification : Private"); 

// *** POINT *** Explicitly set Visibility=Private when creating 

the Notification 

if (Build.VERSION.SDK_INT >= 21) 
privateNotificationBuilder.setVisibility(Notification.VISIBI 

LITY PUBLIC); 

// *** POINT *** Notifications with Visibility-Private may inclu 

de private information 

privateNotificationBuilder.setContentText("Visibility Private : 

Including user d3nfo:. ; 

privateNotificationBuilder.setSmallIcon(R.drawable.ic launcher); 

// When creating a Notification with Visibility-Private, simulta 

neously create and register a public-display Notification with V 

isibility-Public 

if (Build.VERSION.SDK INT »- 21) 
privateNotificationBuilder.setPublicVersion(publicNotificati 

on); 


4.10.3 高 级 话题 


4.10.3 用 户 授予 的 查看 通知 的 权限 


如 上 面 "4.10.2.1 无 论 可 见 性 设置 如 何 ， 通 知 不 得 包含 敏感 信息 (尽管 私人 信息 是 例 
外 ) ?所 述 ， 在 使 用 Android 4.3 (API Level 18) 或 更 高 版 本 的 终端 上 ， 某 些 用 户 选 
择 的 应 用 ， 已 被 授予 用 户 权 限 ， 可 能 会 读 取 所 有 通知 中 的 信息 。 


但 是 ， 为 了 使 应 用 有 资格 获得 此 用 户 权 限 ， 应 用 必须 实现 
从 NotificationListenerService 派生 的 服务 。 


Notification access 





Android Auto 


Android Wear 


A 
Q 
kę 


NotificationListenerService.. 


Figure 4.10-3 The Access to Notifications window, from which Notification read controls may be 
configured 


下 面 的 代码 展示 了 NotificationListenerService 的 用 法 。 


AndroidManifest.xml 


4.10 使 用 通知 


«manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package="org.jssec.notification.notificationListenerService"> 


<application 
android:allowBackup="false" 
android:icon="@drawable/ic launcher" 
android: label="@string/app_name" > 
<service android:name=".MyNotificationListenerService" 
android: label="@string/app_name" 
android: permission="android.permission.BIND_NOTIFICATION 
_LISTENER_SERVICE"> 
<intent-filter> 
«action android: name= 
"android.service.notification.NotificationListen 
erService" /> 
</intent-filter> 
</service> 
</application> 
</manifest> 


| 


MyNotificationListenerService.java 


304 


package org.jssec.notification.notificationListenerService; 


import android.app.Notification; 

import android.service.notification.NotificationListenerService; 
import android.service.notification.StatusBarNotification; 
import android.util.Log; 


public class MyNotificationListenerService extends NotificationL 
istenerService { 


QOverride 
public void onNotificationPosted(StatusBarNotification sbn) 
{ 
// Notification is posted. 
outputNotificationData(sbn, "Notification Posted : "); 
} 
@Override 
public void onNotificationRemoved(StatusBarNotification sbn) 
{ 


7 NOEPPACSL TON. 5 de Leced. 
outputNotificationData(sbn, "Notification Deleted : "); 


j 


private void outputNotificationData(StatusBarNotification sb 
n, String prefix) { 
Notification notification - sbn.getNotification(); 
int notificationID - sbn.getId(); 
String packageName - sbn.getPackageName(); 
long PostTime - sbn.getPostTime(); 


String message = prefix + "Visibility :" + notification. 
visibility + " ID : " + notificationID; 
message += " Package : " + packageName + " PostTime : " 


+ PostTime; 
Log.d("NotificationListen", message); 
} 


} 
[| | >] 
如 上 所 述 ， 通 过 使 用 NotificationListenerService 获取 用 户 权 限 ， 可 以 读 取 


通知 。 但 是 ， 由 于 通知 中 终端 上 包含 的 信息 经 常 包含 私有 信息 ， 因 此 在 处 理 此 类 信 
息 时 需要 小 心 o 


五 、 如 何 使 用 安全 功能 


Android 中 准备 了 各 种 安全 功能 ， 如 加 密 ， 数 字 签名 和 权限 等 。 如 果 这 些 安全 功能 
使 用 不 当 ， 安 全 功能 无 法 有 效 工作 ， 并 且 会 存在 漏洞 。 本章 将 解释 如 何 正确 使 用 安 


全 功能 。 


5.1 创建 密码 输入 界面 


5.1.1 示例 代码 


创建 密码 输入 界面 时 ， 这 里 描述 了 安全 性 方面 需要 考虑 的 一 些 要 点 。 这 里 仅 提 及 与 
密码 输入 有 关 的 内 容 。 对 于 如 何 保存 密码 ， 未 来 会 发 布 另 一 篇 文章 。 


要 点 : 

1) 输入 的 密码 应 该 被 屏蔽 显示 (用 * 显示 ) 

2) 提供 以 纯 文 本 显示 密码 的 选项 。 

3) 警告 用 户 以 纯 文本 显示 密码 有 风险 。 

要 点 : 处 理 最 后 输入 的 密码 时 ， 请 注意 以 下 几 点 以 及 上 述 要 点 


4) 如 果 在 初始 界面 中 有 最 后 输入 的 密码 ， 则 将 黑 点 的 固定 数字 显示 为 虚拟 ， 以 便 不 
会 猜 到 最 后 的 密码 的 数字 。 


5) 当 显 示 虚 拟 密码 ， 并 按 下 "显示 密码 "按钮 时 ， 清 除 最 后 输入 的 密码 并 提供 输入 新 
密码 的 状态 。 


6) 当 最 后 输入 的 密码 显示 为 虚拟 时 ， 如 果 用 户 尝试 输入 密码 ， 请 清除 最 后 输入 的 密 
码 ， 并 将 新 的 用 户 输 入 视 为 新 密码 。 


password_activity.xml 


<?xml version="1.0" encoding="utf-8"?> 
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/ 
android" 
android: layout_width="fill_ parent" 
android: layout_height="fill_parent" 
android: orientation="vertical" 
android: padding="10dp" > 
<!-- Label for password item --> 
<TextView 
android: layout_width="fill_ parent" 
android: layout_height="wrap_content" 
android: text="@string/password" /> 


<!-- Label for password item --> 

<!-- *** POINT 1 *** The input password must be masked (Disp 
lay with black dot) --> 

<EditText 


android: id="@+id/password_edit" 

android: layout_width="fill_parent" 

android: layout_height="wrap_content" 
android:hintz"Qstring/hint password" 
android:inputType-z"textPassword" /> 

<!-- *** POINT 2 *** Provide the option to display the passw 


ord in a plain text --> 
<CheckBox 
android: id="@+id/password_display_check" 
android: layout_width="fill_ parent" 
android: layout_height="wrap_content" 
android: text="@string/display_password" /> 
<!-- *** POINT 3 *** Alert a user that displaying password i 
n a plain text has a risk. --> 
<TextView 
android: layout_width="fill_ parent" 
android: layout_height="wrap_content" 
android: text="@string/alert_password" /> 
<!-- Cancel/OK button --> 
<LinearLayout 
android: layout_width="fill_parent" 
android: layout_height="wrap_content" 
android: layout_marginTop="50dp" 
android: gravity="center" 
android:orientation="horizontal" > 
<Button 
android: layout_width="0dp" 
android: layout_height="wrap_content" 
android: layout_weight="1" 
android: onClick="o0nClickCancelButton" 
android: text="@android:string/cancel" /> 
<Button 
android: layout_width="0dp" 
android: layout_height="wrap_content" 
android: layout_weight="1" 
android: onClick="onClickOkButton" 
android: text="@android:string/ok" /> 
</LinearLayout> 
</LinearLayout> 


位 于 PasswordActivity.java 底部 的 3 个 方法 的 实现 ， 应 该 取决 于 目的 而 调整 。 


e private String getPreviousPassword() 
e private void onClickCancelButton(View view) 
e private void onClickOkButton(View view) 


PasswordActivity.java 


package org.jssec.android.password.passwordinputui; 


import android.app.Activity; 
import android.os.Bundle; 

import android.text.Editable; 
import android.text.InputType; 
import android.text.TextWatcher; 
import android.view.View; 

import android.view.WindowManager ; 


import android.widget.CheckBox; 

import android.widget.CompoundButton; 

import android.widget.CompoundButton.OnCheckedChangeListener; 
import android.widget.EditText; 

import android.widget.Toast; 


public class PasswordActivity extends Activity { 


// Key to save the state 

private static final String KEY DUMMY PASSWORD - "KEY DUMMY 
PASSWORD"; 

// View inside Activity 

private EditText mPasswordEdit; 

private CheckBox mPasswordDisplayCheck; 


// Flag to show whether password is dummy display or not 
private boolean mIsDummyPassword; 
QOverride 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.password activity); 
// Set Disabling Screen Capture 
getWindow().addFlags(WindowManager.LayoutParams.FLAG SEC 
URE); 
// Get View 
mPasswordEdit - (EditText) findViewById(R.id.password ed 
it); 
mPasswordDisplayCheck = (CheckBox) findViewById(R.id.pas 
sword display check); 
// Whether last Input password exist or not. 
if (getPreviousPassword() !- null) ( 

// *** POINT 4 *** In the case there is the last inp 
ut password in an initial display, 

// display the fixed digit numbers of black dot as d 
ummy in order not that the digits number of last password is gue 
ssed. 

// Display should be dummy password. 

mPasswordEdit.setText("********»*x"); 

// To clear the dummy password when inputting passwo 
rd, set text change listener. 

mPasswordEdit.addTextChangedListener(new PasswordEdi 
tTextWatcher()); 

// Set dummy password flag 

mIsDummyPassword = true; 

j 

// Set a listner to change check state of password displ 
ay option. 

mPasswordDisplayCheck 

. setOnCheckedChangeListener(new OnPasswordDisplayChe 
ckedChangeListener()); 


j 


@Override 


public void onSaveInstanceState(Bundle outState) { 
super.onSaveInstanceState(outState); 
// Unnecessary when specifying not to regenerate Activit 
y by the change in screen aspect ratio. 
// Save Activity state 
outState.putBoolean(KEY DUMMY PASSWORD, mIsDummyPassword 
); 
} 


@Override 
public void onRestoreInstanceState(Bundle savedInstanceState) 


super.onRestorelInstanceState(savedInstanceState); 

// Unnecessary when specifying not to regenerate Activit 
y by the change in screen aspect ratio. 

// Restore Activity state 

mIsDummyPassword = savedInstanceState.getBoolean(KEY DUM 
MY PASSWORD); 


j 
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* Process in case password is input 

yh 

private class PasswordEditTextWatcher implements TextWatcher 


public void beforeTextChanged(CharSequence s, int start, 
int count, int after) { 
// Not used 
} 


public void onTextChanged(CharSequence s, int start, int 
before, int count) { 
// *** POINT 6 *** When last Input password is displ 
ayed as dummy, in the case an user tries to input password, 
// Clear the last Input password, and treat new user 
input as new password. 
if (mIsDummyPassword) { 
// Set dummy password flag 
mIsDummyPassword = false; 
// Trim space 
CharSequence work = s.subSequence(start, start + 
count); 
mPasswordEdit.setText(work); 
// Cursor position goes back the beginning, so b 
ring it at the end. 
mPasswordEdit.setSelection(work.length()); 


j 

j 

public void afterTextChanged(Editable s) ( 
// Not used 

j 
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furs 

* Process when check of password display option is changed. 

26 

private class OnPasswordDisplayCheckedChangeListener impleme 
nts OnCheckedChangeListener ( 


public void onCheckedChanged(CompoundButton buttonView, 
boolean isChecked) { 
// *** POINT 5 *** When the dummy password is displa 
yed and the "Show password" button is pressed, 
// clear the last input password and provide the sta 
te for new password input. 
if (mIsDummyPassword && isChecked) { 
// Set dummy password flag 
mIsDummyPassword = false; 
// Set password empty 
mPasswordEdit.setText(null); 
} 
// Cursor position goes back the beginning, so memor 
ize the current cursor position. 
int pos = mPasswordEdit.getSelectionStart(); 
// *** POINT 2 *** Provide the option to display the 
password in a plain text 
// Create InputType 
int type - InputType.TYPE CLASS TEXT; 
if (isChecked) ( 
// Plain display when check is ON. 
type |= InputType.TYPE TEXT VARIATION VISIBLE PA 
SSWORD; 
) else { 
// Masked display when check is OFF. 
type |= InputType.TYPE TEXT. VARIATION PASSWORD; 
} 
// Set InputType to password EditText 
mPasswordEdit.setInputType(type); 
// Set cursor position 
mPasswordEdit.setSelection(pos); 


j 


// Implement the following method depends on application 
JERS 
* Get the last Input password 
* 
* @return Last Input password 
2 
private String getPreviousPassword() { 
// When need to restore the saved password, return passw 
ord character string 
// For the case password is not saved, return null 
return "hirake5ma"; 


311 





jr 

* Process when cancel button is clicked 

* @param view 

ra 

public void onClickCancelButton(View view) ( 
// Close Activity 
finish(); 

} 


JARE 
* Process when OK button is clicked 
* @param view 
ry 
public void onClickOkButton(View view) { 
// Execute necessary processes like saving password or u 
Sing for authentication 
String password = null; 
if (mIsDummyPassword) { 
// When dummy password is displayed till the final m 
oment, grant last iInput password as fixed password. 
password = getPreviousPassword(); 
} else { 
// In case of not dummy password display, grant the 
user input password as fixed password. 
password = mPasswordEdit.getText().toString(); 
} 


// Display password by Toast 
Toast.makeText(this, "password is ¥"" + password + "¥"", 
Toast.LENGTH SHORT).show(); 


// Close Activity 
finish(); 


gu ———————————— I Á— MÀ D 
5.1.2 规则 书 
实现 密码 输入 界面 时 ， 遵 循 以 下 规则 。 


5.1.2.1 如 采 输 入 了 密码 ， > 提供 屏蔽 显示 功能 (必需 ) 


智和 台 手 机 通 第 用 在 火车 或 公共 汽车 等 FUG AD RUA > fo ELTE SER RR A Mat BE A 
险 。 因此， 屏蔽 显示 密码 的 功能 是 应 用 规范 所 必需 的 。 


有 两 种 方法 可 以 将 EditText 显示 为 密码 : 在 布局 XML 中 静态 指定 此 值 ， 或 通过 
从 程序 中 切换 显示 来 动态 指定 此 值 。 前 者 通过 为 android:inputType 属性 指 

X textPassword 或 使 用 android:password 属性 来 实现 。 后 者 通过 使 

用 EditText 类 的 setInputType() 方法 ， 

将 InputType.TYPE TEXT. VARIATION PASSWORD 添加 到 其 输入 类 型 ， 来 实现 的 。 


下 面 展示 了 每 个 的 示例 代码 o 
在 布局 XML 中 屏蔽 密码 。 


password_activity.xml 


<!—Password input item --> 
<!—Set true for the android:password attribute --> 
<EditText 

android: id="@+id/password_edit" 

android: layout_width="fill_parent" 

android: layout_height="wrap_content" 

android: hint="@string/hint_password" 

android: password="true" /> 


在 活动 中 屏蔽 密码 。 


PasswordActivity.java 


// Set password display type 
// Set TYPE TEXT VARIATION PASSWORD for InputType. 
EditText passwordEdit - (EditText) findViewById(R.id.password ed 
it); 
int type = InputType.TYPE CLASS TEXT 

| InputType.TYPE_TEXT_VARIATION_PASSWORD; 
passwordEdit.setInputType(type); 


5.1.2.2 提供 以 纯 文本 展示 密码 的 选项 (必需 ) 


智能 手机 的 密码 输入 通过 触摸 面板 输入 完成 ， 因 此 与 PC 上 的 键盘 输入 相 比 ， 容 多 
发 生 误 输入 。 由 于 输入 不 便 ， 用 户 可 能 会 使 用 简单 的 密码 ， 这 样 做 会 更 危险 。 此 
外 ， 当 有 多 次 密码 输入 失败 叶 致 帐户 锁定 等 机 制 时 ， 必 须 尽 可 能 避免 误 输 入 。 作 为 
这 些 问 题 的 解决 方案 ， 通 过 准备 以 纯 文 本 显示 密码 的 选项 ， 用 户 可 以 使 用 安全 密 
AU o 


但 是 ， 以 纯 文 本 显示 密码 时 ， 可 能 会 被 嗅 探 ， 所 以 使 用 此 选项 时 。 有 必要 提醒 用 户 
注意 来 自 后 面 的 嗅 探 。 此 外 ， 如 果 存 在 以 纯 文本 显示 的 选项 ， 则 还 需要 为 系统 准 
备 ， 来 自动 取消 纯 文本 显示 ， 如 设置 纯 文本 显示 的 时 间 。 密 码 纯 文本 显示 的 限制 ， 
在 未 来 版 本 的 另 一 篇 文章 中 发 布 。 因 此 ， 蜜 码 纯 文 本 显示 的 限制 不 包含 在 示例 代码 
中 。 


p 
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Display password Display password 


je Careful abou 


| show check ON > 


v 





Figure 5.1-2 
通过 指定 EditText 的 InputType ， 可 以 切换 屏蔽 显示 和 纯 文 本 显示 。 


PasswordActivity.java 
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* Process when check of password display option is changed. 

=y 

private class OnPasswordDisplayCheckedChangeListener implements 
OnCheckedChangeListener { 


public void onCheckedChanged(CompoundButton buttonView, 
boolean isChecked) { 
// *** POINT 5 *** When the dummy password is displayed 
and the "Show password" button is pr 
essed, 
// Clear the last input password and provide the state f 
or new password input. 
if (mIsDummyPassword && isChecked) { 
// Set dummy password flag 
mIsDummyPassword = false; 
// Set password empty 
mPasswordEdit.setText(null); 
} 
// Cursor position goes back the beginning, so memorize 
the current cursor position. 
int pos = mPasswordEdit.getSelectionStart(); 
// *** POINT 2 *** Provide the option to display the pas 
sword in a plain text 
// Create InputType 
int type = InputType.TYPE_CLASS_TEXT; 
if (isChecked) { 
// Plain display when check is ON. 
type |= InputType.TYPE_TEXT_VARIATION_VISIBLE_PASSWO 
RD; 
} else { 
// Masked display when check is OFF. 
type |= InputType.TYPE_TEXT_VARIATION_PASSWORD; 
} 
// Set InputType to password EditText 
mPasswordEdit.setInputType(type) ; 
// Set cursor position 
mPasswordEdit.setSelection(pos); 


5.1.2.3 活动 加 载 时 屏蔽 密码 (必需 ) 


为 防止 密码 被 偷窥 ， 当 活动 启动 时 ， 密 码 显 示 选 项 的 默认 值 应 该 设置 为 OFF 。 X 
本 上 ， 默 认 值 应 该 总 是 定义 为 更 安全 的 一 方 。 


5.1.2.4 显示 最 后 输入 密码 时 ， 必 须 显示 虚拟 密码 (LE) 


当 指 定 最 后 输入 的 密码 时 ， 不 要 给 第 三 方 任何 密码 提示 ， 它 应 该 显示 为 带 有 屏蔽 字 
符 (* 等 ) 的 固定 位 数 的 虚拟 值 。 另 外 ， 在 虚拟 显示 时 按 下 “显示 密码 "的 情况 

下 ， 清 除 密码 并 切换 到 纯 文 本 显示 模式 。 它 有 助 于 防止 最 后 输入 的 密码 被 噢 探 的 风 
险 ， 即 使 设备 被 传递 给 第 三 方 ， 比 如 它 被 次 时 。 仅 供 参考 ， 在 虚拟 显示 的 情况 下 以 
及 用 户 尝 试 输入 密码 时 ， 应 取消 虚拟 显示 ， 需 要 变 成 正常 输入 状态 。 


显示 最 后 输入 的 密码 时 ， 显 示 康 拟 密码 。 


PasswordActivity.java 


public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.password activity); 
// Get View 
mPasswordEdit - (EditText) findViewById(R.id.password edit); 
mPasswordDisplayCheck - (CheckBox) findViewById(R.id.passwor 
d display check); 
// Whether last Input password exist or not. 
if (getPreviousPassword() !- null) ( 
// *** POINT 4 *** In the case there is the last input p 
assword in an initial display, 
// display the fixed digit numbers of black dot as dummy 
in order not that the digits number of last password is guessed. 


// Display should be dummy password. 

mPasswordEdit.setText("*********x"); 

// To clear the dummy password when inputting password, 
set text change listener. 

mPasswordEdit.addTextChangedListener(new PasswordEditTex 
twatcher()); 

// Set dummy password flag 

mIsDummyPassword = true; 


ff ieee 
* Get the last input password. 
* 
* Qreturn the last input password 
ia 
private String getPreviousPassword() { 
// To restore the saved password, return the password charac 
ter string. 
// For the case password is not saved, return null. 
return "hirake5ma"; 


| ——————'ÓIÍ o ÜÍ ne: à 


在 虚拟 显示 的 情况 下 ， 当 密码 显示 选项 打开 时 ， 请 清除 显示 的 内 容 。 


PasswordActivity.java 


ae 

* Process when check of password display option is changed. 

i | 

private class OnPasswordDisplayCheckedChangeListener implements 
OnCheckedChangeListener { 


public void onCheckedChanged(CompoundButton buttonView, 
boolean isChecked) { 
// *** POINT 5 *** When the dummy password is displayed 
and the "Show password" button is pressed, 
// Clear the last input password and provide the state f 
or new password input. 
if (mIsDummyPassword && isChecked) { 
// Set dummy password flag 
mIsDummyPassword = false; 
// Set password empty 
mPasswordEdit.setText(null); 


在 虚拟 显示 的 情况 下 ， 当 用 户 尝试 输入 密码 时 ， 清 除 虚 拟 显示 。 


PasswordActivity.java 


// Key to save the state 
private static final String KEY_DUMMY_PASSWORD = "KEY_DUMMY_PASS 
WORD"; 


ee 


// Flag to show whether password is dummy display or not. 
private boolean mIsDummyPassword; 


QOverride 
public void onCreate(Bundle savedInstanceState) { 


[Eee 


// Whether last Input password exist or not. 
if (getPreviousPassword() !- null) ( 
// *** POINT 4 *** In the case there is the last input p 
assword in an initial display, 
// display the fixed digit numbers of black dot as dummy 
in order not that the digits number of last password is guessed. 
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// Display should be dummy password. 

mPasswordEdit.setText("**********")>: 

// To clear the dummy password when inputting password, 
set text change listener. 

mPasswordEdit .addTextChangedListener(new PasswordEditTex 
twatcher()); 

// Set dummy password flag 

mIsDummyPassword = true; 


j 

[...] 
} 
@Override 


public void onSaveInstanceState(Bundle outState) { 
super.onSaveInstanceState(outState); 
// Unnecessary when specifying not to regenerate Activity by 
the change in screen aspect ratio. 
// Save Activity state 
outState.putBoolean(KEY DUMMY PASSWORD, mIsDummyPassword); 
} 


@Override 
public void onRestoreInstanceState(Bundle savedInstanceState) { 
super.onRestoreInstanceState(savedInstanceState); 
// Unnecessary when specifying not to regenerate Activity by 
the change in screen aspect ratio. 
// Restore Activity state 
mIsDummyPassword = savedInstanceState.getBoolean(KEY DUMMY P 
ASSWORD) ; 


j 


Jf 58 8 

* Process when inputting password. 

Du 

private class PasswordEditTextWatcher implements TextWatcher ( 


public void beforeTextChanged(CharSequence s, int start, int 
count, 
int after) { 
// Not used 


} 


public void onTextChanged(CharSequence s, int start, int bef 

ore, 

ine count) t 

// *** POINT 6 *** when last Input password is displayed 
as dummy, in the case an user tries to input password, 

// Clear the last Input password, and treat new user inp 
ut as new password. 

if (mlIsDummyPassword) { 
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// Set dummy password flag 

mIsDummyPassword = false; 

// Trim space 

CharSequence work = s.subSequence(start, start + cou 
nt); 

mPasswordEdit.setText (work); 

// Cursor position goes back the beginning, so bring 

it at the end. 
mPasswordEdit.setSelection(work.length()); 


} 

} 

public void afterTextChanged(Editable s) { 
// Not used 

} 


EE 
5.1.3 高 级 话题 


5.1.3.1 登录 过 程 


需要 密码 输入 的 代表 性 示例 是 登录 过 程 。 以 下 是 一 些 在 登录 过 程 中 需要 注意 的 事 
I o 


登录 失败 时 的 错误 信息 


在 登录 过 程 中 ， 需 要 输入 两 个 信息 ，ID (账号 ) 和 密码 。 登录 失败 时 有 两 种 情况 。 
一 个 是 ID 不 存在 M 另 一 个 是 1D 存在 ? 但 密码 不 正确 o 如 果 这 两 种 ， 情况 中 的 任何 
一 种 ， 有 所 区 分 并 显示 在 登录 失败 消息 中 ， 则 攻击 者 可 以 猜测 指定 的 ID E665 
在 。 为 了 阻止 这 种 猜测 ， 这 两 种 情况 不 应 该 在 登录 失败 消息 中 区 分 ， 并 且 该 消息 应 
该 按照 下 面 的 方式 显示 。 


消息 示例 : 登录 ID 或 密码 不 正确 。 
自动 登录 功能 


存在 一 个 功能 ， 可 以 完成 成 功 登 录 过 程 一 次 后 ， 通 过 省 略 下 次 登录 的 ID /密码 输入 
来 执行 自动 登录 。 自 动 登录 功能 可 以 省 去 复杂 的 输入 。 因 此 ， 便 利 性 会 增加 ， 但 另 
一 方面 ， 当 智能 手机 被 盗 时 ， 第 三 方 恶 意 使 用 的 风险 将 随 之 而 来 。 


只 有 在 恶意 第 三 方 造成 的 损害 可 以 接受 时 ， 或 者 只 有 在 可 以 采取 足够 安全 措施 的 情 
况 下 ， 才 和 使 用 自动 登录 功能 。 例 如 ， 在 网 上 银行 应 用 的 情况 下 ， ot 
2 s 所 以 在 这 种 情况 下 ， 与 自动 登录 功能 配套 的 安全 

是 必需 的 。 EROR AREE > oe 【在 付款 过 得 学 财务 流程 前 需要 重新 
rea) ， 【设置 自动 登录 时 ， 请 求 用 户 注意 并 提示 用 户 锁定 设备 】 等 。 使 用 自 
动 登录 时 ， 有 必要 仔细 考虑 方便 性 和 风险 以 及 假定 的 对 策 。 


5.1.3.2 修改 密码 


更 改 曾经 设置 的 密码 时 ， 应 在 屏幕 上 准备 以 下 输入 项 目 。 


e 当前 密码 

e 新 密码 

e 新 密码 (确认 ) 

当 引 入 自动 登录 功能 时 ， 第 三 方 可 能 使 用 应 用 。 在 这 种 情况 下 ， 为 了 避免 意外 更 改 
密码 ， 需 要 输入 当前 的 密码 。 另外， 为 了 减少 由 于 错误 输入 新 密码 ， 而 进入 不 可 用 
状态 的 风险 ， 有 必要 要 求 输入 两 次 新 的 密码 。 


5.1.3.3 X T$ BAST rs E 


Android 设置 菜单 中 有 一 个 名 为 “使 密码 可 见 ”" 的 设置 。 在 Android 4.4 的 情况 下 ， 如 
下 所 示 。 


设置 -> 安全 -> 使 密码 可 见 


& Security 


Set up SIM card lock 


Make passwords visible 


DEVICE ADMINISTRATION 


Device administrators 


Unknown sources 
| | a | apt 


CREDENTIAL STORAGE 





Figure 5.1-3 


打开 “使 密码 可 见 ” 设 置 时 ， 最 后 输入 的 字符 以 纯 文本 显示 。 经 过 一 定 的 时 间 ( 约 两 
AY) ， 或 输入 下 一 个 字符 后 ， 以 纯 文 本 显示 的 字符 将 被 屏蔽 。 关闭 时 ， 输 入 后 会 立 
MER o 此 设置 影响 整个 系统 ， 并 且 它 适用 于 使 用 EditText 的 密码 显示 功能 的 

所 有 应 用 。 
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Figure 5.1-4 


5.1.3.4 禁用 屏幕 截图 


在 密码 输入 屏幕 中 ， 密 码 可 以 在 屏幕 上 清晰 显示 。 在 处 理 个 人 信息 的 屏幕 中 ， 如 果 
屏幕 截图 功能 在 默认 情况 下 处 于 启用 状态 ， 则 可 能 会 从 屏幕 截图 文件 中 泄漏 ， 它 存 
储 在 外 部 存储 器 上 。 因 此 建议 对 密码 输入 屏幕 禁用 屏幕 截图 功能 。 通过 附加 下 面 的 
代码 可 以 禁用 屏幕 截图 。 


PasswordActivity.java 


@Override 
public void (Bundle saveInstanceState) { 


[55] 
Window window - getWindow(); 


window.addFlags(WindowManager.LayoutParams.FLAG SECURE); 
setContentView(R.layout.passwordInputScreen); 


[...] 


5.2 权限 和 保护 级 别 


权限 内 有 四 种 类 型 的 保护 级 别 ， 它 们 包括 正常 ， 危 险 ， 签 名 和 签名 或 系统 。 根据 保 
护 级 别 ， 权 限 被 称 为 正常 权限 ， 危 险 权 限 ， 签 名 权限 或 签名 或 系统 权限 。 以 下 部 分 
中 使 用 这 些 名 称 。 


5.2.1 示例 代码 


5.2.1.1 如 何 使 用 Android OS 的 系统 权限 


Android 操作 系统 有 一 个 称 为 “权限 ”的 安全 机 制 ， 可 以 保护 其 用 户 的 资产 (如 联系 人 
fe GPS 功能 ) 免 受 恶意 软件 的 侵害 。 当 应 用 请 求 访问 受 Android OS 保护 的 信息 
或 功能 时 ， 应 用 需要 显 式 声明 权限 才能 访问 它们 。 安装 应 用 ， 它 申请 需要 用 户 同意 
的 权限 时 ， 会 出 现 以 下 确认 界面 [23]。 


[23] 在 Android 6.0 (API Level 23) 及 更 高 版 本 中 ， 安 装 应 用 时 不 会 发 生 用 户 
的 权限 授予 或 拒绝 ， 而 是 在 应 用 请 求 权 限时 在 运行 时 发 生 。 更 多 详细 信息 ， 请 
参见 “5.2.1.4 在 Android 6.0 及 更 高 版 本 中 使 用 危险 权限 的 方法 "和 “5.2.3.6 
Android 6.0 和 更 高 版 本 中 的 权限 模型 规范 的 修改 "部 分 。 


® Declare uses permission 


Do you want to install this application? It 
will get access to 


DEVICE ACCESS 


Cancel Install 





Figure 5.2-1 


从 该 确认 界面 中 ， 用 户 能 够 知道 ， 应 用 试图 访问 哪些 类 型 的 特征 或 信息 。 如果 应 用 
试图 访问 明显 不 需要 的 功能 或 信息 ， 那 么 该 应 用 很 可 能 是 恶意 软件 。 因 此， 为 了 使 
你 的 应 用 不 被 怀疑 是 恶意 软件 ， 因 此 需要 尽量 减少 使 用 权限 声明 。 


要 点 : 
1. 使 用 uses-permission 声明 应 用 中 使 用 的 权限 。 
2. 不 要 用 uses-permission 声明 任何 不 必要 的 权限 。 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.permission.usespermission" > 


<!-- *** POINT 1 *** Declare a permission used in an applica 
tion with uses-permission --> 
<!-- Permission to access Internet --> 


«uses-permission android:name="android.permission. INTERNET"/> 


<!-- *** POINT 2 *** Do not declare any unnecessary permissi 
ons with uses-permission --> 
<!-- If declaring to use Permission that is unnecessary for 
application behaviors, it gives users a 
sense of distrust. --> 
<application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 
<activity 
android: name=".MainActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 
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5.2.1.2 如 何 使 用 内 部 定义 的 权限 在 内 部 应 用 之 间 通 信 


除了 由 Android OS 定义 的 系统 权限 之 外 ， 应 用 还 可 以 定义 自己 的 权限 。 如 果 使 用 
内 部 定义 的 权限 〈 内 部 定义 的 签名 权限 更 准确 ) ， 则 可 以 构建 只 允许 内 部 应 用 之 间 
进行 通信 的 机 制 。 通过 提供 基于 多 个 内 部 应 用 之 间 的 ， 应 用 间 通 信 的 复合 功能 ， 应 
用 变 得 更 具 吸 引力 ， 你 的 企业 可 以 通过 将 其 作为 系列 销售 获得 更 多 利润 。 这 是 使 用 
内 部 定义 的 签名 权限 的 情况 。 


"C0 


示例 应 用 “内 部 定义 的 签名 权限 (UserApp) "使 用 Context.startActivity() 7 
法 启动 示例 应 用 “内 部 定义 的 签名 权限 (ProtectedApp) "o 两 个 应 用 都 需要 使 用 相 
同 的 开发 人 员 密 钥 进 行 签名 。 如 果 用 于 签名 的 密 钥 不 同 ， 则 UserApp 不 会 

向 ProtectedApp 发 送 意 图 ， 并 且 ProtectedApp 不 处 理 从 UserApp 收 到 的 意 
图 。 此 外 ， 它 还 可 以 防止 恶意 软件 使 用 安装 顺序 相关 的 事项 ， 绕 过 你 自己 的 签名 权 
限 ， 如 高 级 话题 部 分 中 所 述 。 


tected application 





Application that uses component Application provided component 
Figure 5.2-2 
要 点 : 提供 组 件 的 应 用 
1) 使 用 protectionLevel-"signature" 定义 权限 。 
2) 对 于 组 件 ， 使 用 其 权限 属性 强制 规定 权限 。 
3) 如 果 组 件 是 活动 ， 则 必须 没有 定义 意图 过 滤器 。 
4) 在 运行 时 ， 验 证 签名 权限 是 否 由 程序 代码 本 身 定义 。 


5) 导出 APK 时 ， 请 使 用 与 使 用 该 组 件 的 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 答 
名 o 


m 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.permission.protectedapp" > 
<!-- *** POINT 1 *** Define a permission with protectionLeve 
l-"signature" --> 
<permission 
android: name="org.jssec.android.permission.protectedapp. 
MY_PERMISSION" 
android: protectionLevel="Signature" /> 
<application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 


<!-- *** POINT 2 *** For a component, enforce the permis 
sion with its permission attribute --> 
<activity 


android: name=".ProtectedActivity" 

android: exported="true" 

android: label="@string/app_name" 

android: permission="org.jssec.android.permission.pro 
tectedapp.MY_PERMISSION" > 


<!-- *** POINT 3 *** If the component is an activity 
, you must define no intent-filter --> 
</activity> 
</application> 
</manifest> 
ProtectedActivity.java 


package org.jssec.android.permission.protectedapp; 


import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.Context; 

import android.os.Bundle; 

import android.widget.TextView; 


public class ProtectedActivity extends Activity { 


// In-house Signature Permission 

private static final String MY PERMISSION - "org.jssec.andro 
id.permission.protectedapp.MY PERMISSION"; 

// Hash value of in-house certificate 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" o 


f debug.keystore 
sMyCertHash = "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCB4AE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" of 
keystore 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 
} 
} 
return sMyCertHash; 


} 


private TextView mMessageView; 


@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mMessageView - (TextView) findViewById(R.id.messageView) 
, 
// *** POINT 4 *** At run time, verify if the signature 
permission is defined by itself on the program code 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 


) { 

mMessageView.setText("In-house defined signature per 
mission is not defined by in-house application."); 

return; 


// *** POINT 4 *** Continue processing only when the cer 
tificate matches 

mMessageView.setText("In-house-defined signature permiss 
ion is defined by in-house application, 

was confirmed."); 


} 


SigPerm.java 


package org.jssec.android.shared; 


import android.content.Context; 

import android.content.pm.PackageManager ; 

import android.content.pm.PackageManager .NameNotFoundException; 
import android.content.pm.PermissionInfo; 


public class SigPerm { 


public static boolean test(Context ctx, String sigPermName, 
String correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, sigPermName)); 


} 

public static String hash(Context ctx, String sigPermName) { 
if (sigPermName == null) return null; 
try c 


// Get the package name of the application which dec 
lares a permission named sigPermName. 
PackageManager pm = ctx.getPackageManager( ); 
PermissionInfo pi; 
pi = pm.getPermissionInfo(sigPermName, PackageManage 
r.GET META DATA); 
String pkgname - pi.packageName; 
// Fail if the permission named sigPermName is not a 
Signature Permission 
if (pi.protectionLevel !- PermissionInfo.PROTECTION 
SIGNATURE) return null; 
// Return the certificate hash value of the applicat 
ion which declares a permission named sigPermName. 
return PkgCert.hash(ctx, pkgname); 
) catch (NameNotFoundException e) { 
return null; 
} 


PkgCert.java 


package org.jssec.android. shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert { 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) { 
if (correctHash == null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
Packagelnfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
} catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
Cry 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 


} 
return hexadecimal.toString(); 
} 
} 
要 点 5 : 导出 APK 时 ， 请 使 用 与 使 用 该 组 件 的 应 用 相同 的 开发 人 员 密 钥 对 APK 3E 
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Figure 4.2-1 


要 点 : 使 用 组 件 的 应 用 

) 禁止 定义 应 用 使 用 的 相同 签名 权限 。 

) 使 用 权限 标签 声明 内 部 权限 。 

8) 验证 内 部 签名 权限 ， 是 否 由 提供 组 件 的 应 用 定义 。 
9) 验证 目标 应 用 是 否 是 内 部 应 用 。 

10) 当 目 标 组 件 是 一 个 活动 时 ， 使 用 显 式 意图 。 


11) 导出 APK 时 ， 请 使 用 与 使 用 该 组 件 的 应 用 相同 的 开发 人 员 密 钥 对 APK 进行 签 
名 o 


AndroidManifest.xml 


5.2.1 示例 代码 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.permission.userapp" > 


<!-- *** POINT 6 *** The same signature permission that the 
application uses must not be defined --> 
<!-- *** POINT 7 *** Declare the in-house permission with us 


es-permission tag --> 
<uses-permission 
android: name="org.jssec.android.permission.protectedapp.MY_P 
ERMISSION" /> 
<application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 
<activity 
android: name=".UserActivity" 
android: label="@string/app_name" 
android:exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
Le 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


加 一 i 


UserActivity.java 


package org.jssec.android.permission.userapp; 


import org.jssec.android.shared.PkgCert; 
import org.jssec.android.shared.SigPerm; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.Toast; 


public class UserActivity extends Activity { 
// Requested (Destination) application's Activity information 
private static final String TARGET PACKAGE - "org.jssec.andr 
oid.permission.protectedapp"; 


private static final String TARGET ACTIVITY = "org.jssec.and 
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5.2.1 示例 代码 


roid.permission.protectedapp.ProtectedActivity"; 

// In-house Signature Permission 

private static final String MY_PERMISSION = "org.jssec.andro 
id.permission.protectedapp.MY PERMISSION"; 

// Hash value of in-house certificate 

private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" o 
f debug.keystore. 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" of 
keystore. 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 


j 


} 

return sMyCertHash; 
} 
QOverride 


public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 


j 


public void onSendButtonClicked(View view) ( 
// *** POINT 8 *** Verify if the in-house signature perm 
ission is defined by the application that provides the component 
on the program code. 
if (!SigPerm.test(this, MY PERMISSION, myCertHash(this)) 


) í 

Toast.makeText(this, "In-house-defined signature per 
mission is not defined by In house application. ", Toast.LENGTH L 
ONG) . show( ) ; 

return; 


// *** POINT 9 *** Verify if the destination application 
is an in-house application. 
if (!PkgCert.test(this, TARGET PACKAGE, myCertHash(this) 


)) í 
Toast.makeText(this, "Requested (Destination) applic 
ation is not in-house application.", Toast.LENGTH_LONG).show(); 
return; 
} 
// *** POINT 10 *** Use an explicit intent when the dest 
ination component is an activity. 


try { 
Intent intent = new Intent(); 
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intent.setClassName(TARGET_PACKAGE, TARGET_ACTIVITY) 


startActivity(intent); 
} catch(Exception e) { 
Toast .makeText(this, 
String.format("Exception occurs:%s", e.getMessage()) 
, TOast.LENGTH_LONG).show(); 


} 
} 
a eae n 


PkgCertWhitelists.java 


package org.jssec.android. shared; 


import java.util.HashMap; 
import java.util.Map; 
import android.content.Context; 


public class PkgCertwhitelists { 


private Map<String, String» mwhitelists = new HashMap<String 
, String>(); 


public boolean add(String pkgname, String sha256) { 

if (pkgname == null) return false; 

if (sha256 == null) return false; 

sha256 = sha256.replaceAll(" ", ""); 

if (sha256.length() != 64) return false; // SHA-256 -> 3 
2 bytes -> 64 chars 

sha256 = sha256.toUpperCase(); 

if (sha256.replaceAll("[0-9A-F]+", "").length() != 0) re 
turn false; // found non hex char 

mwhitelists.put(pkgname, sha256); 

return true; 


} 


public boolean test(Context ctx, String pkgname) { 
// Get the correct hash value which corresponds to pkgna 
me. 
String correctHash = mWhitelists.get(pkgname); 
// Compare the actual hash value of pkgname with the cor 
rect hash value. 
return PkgCert.test(ctx, pkgname, correctHash); 
} 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert ( 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) ( 
if (correctHash -- null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
Cry 
PackageManager pm = ctx.getPackageManager(); 
Packagelnfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
) catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
BEW sf 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
} catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) 1 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 
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Figure 4.2-1 





Private Broadcast Receiver 


5.2.1.3 如 何 验 证 应 用 证 书 的 散 列 值 


我 们 将 说 明 ， 如 何 验 证 应 用 证 书 的 散 列 值 ， 他 们 在 本 指南 中 不 同位 置 出 现 。 严 格 来 
说 ， 散 列 值 意味 着 "用 于 签署 APK 的 开发 人 员 密 铀 的 公 角 证书 的 SHA256 散 列 
值 ”。 


如 何 使 用 Keytool 进行 验证 


使 用 与 JDK 捆绑 在 一 起 的 名 为 keytool 的 程序 ， 你 可 以 获取 开发 人 员 密 钥 的 公 铀 证 
书 的 散 列 值 (也 称 为 证 书 指纹 ) 。 由 于 散 列 算法 的 不 同 ， 存在 各 种 散 列 方法 ， 例 如 
MD5，SHA1 和 SHA256。 但 是 ， 考 虑 到 加 密 字 节 长 度 的 安全 强度 ， 本 指南 推荐 使 
用 SHA256 » 不 幸 的 是 ，Android SDK 中 使 用 的 ，JDK6 绑 定 的 keytool 不 支持 
SHA256 来 计算 哈 希 值 。 因 此 ， 有 必要 使 用 JDK7 REKI keytool 。 


通过 keytool 输出 Android 调试 证 书 内 容 的 示例 


> keytool -list -v -keystore < keystore file > -storepass < pass 
word > 

Type of keystore: JKS 

Keystore provider: SUN 

One entry is included in a keystore 

Other name: androiddebugkey 

Date of creation: 2012/01/11 

Entry type: PrivateKeyEntry 

Length of certificate chain: 1 

Certificate[1]: 

Owner: CN=Android Debug, O=Android, C=US 

Issuer: CN=Android Debug, O=Android, C=US 

Serial number: 4fOcef98 

Start date of validity period: Wed Jan 11 11:10:32 JST 2012 End 

date: Fri Jan 03 11:10:32 JST 2042 

Certificate fingerprint: 

MD5: 9E:89:53:18:06:B2:E3:AC:B4:24:CD:6A:56:BF: 1E: A1 

SHA1: A8:1E:5D:E5:68:24:FD:F6:F1:ED:2F:C3:6E:0F:09:A3:07:F8:5C:0 
C 

SHA256: FB:75:E9:B9:2bE:9E:6B:4D:AB:3F:94:B2:EC:A1:F0:33:09:74:D8 
:7A:CF:42:58:22:A2:56:85:1B:0F 

:85:C6:35 

Signatrue algorithm name: SHA1withRSA 


Version: 3 
kkxkxkkkkkxkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 
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如 何 使 用 JSSEC 证 书 散 列 值 检查 器 进行 验证 


在 不 安装 JDK7 的 情况 下 ， 你 可 以 使 用 JSSEC 证 书 散 列 值 检查 器 ， 轻 松 验证 证 书 散 
列 值 。 


In-house defined signature 
permission (UserApp) 


package: org.jssec.android_permission.userapp 
sha-256: 0EFB7236 328348A 9 897 18BAD DF57F544 
D5CCBAAE B9DB34BC 1E29DD26 F//C8255 


Create Password Input Screen 
package: org.jssec.android.password.passwordinputut 
sha-256: FC7DBAE1 E538AD40 A74478B2 5E90447E 
484/82F9 61C596E9 COCCBABI /A380221 


Example Wallpapers 


package: com.example.android.livecubes 
sha-256: A40DA80A 59D170CA A950CF15 C18C454D 
47A39B26 989D8B64 0ECD745B A71BF5DC 


Figure 5.2-5 


这 是 一 个 Android 应 用 ， 显示 安装 在 设备 中 的 ， > 应 用 的 证 书 哈 布 值 列表 。 在 上 图 
中 ， sha-256 右 侧 显示 的 64 个 字符 的 十 六 进 制 字符 串 是 证 书 哈 硕 值 。 
带 的 示例 代码 文件 夹 JSSEC CertHash Checker 是 一 组 源 代 码 。 如 果 你 愿意 ， 你 
可 以 编译 代码 并 使 用 它 。 





5.2.1.4 Android 6.0 及 更 高 版 本 中 使 用 危险 权限 的 方法 


Android 6.0 (API Level 23) 结合 了 修改 后 的 规范 ， 与 应 用 实现 相关 - 特别 是 应 用 
被 授予 权限 的 时 间 。 


在 Android 5.1 (API 级 别 22) 和 更 旱 版 本 的 权限 模型 下 (请 参阅 “5.2.3.6 Android 
6.0 和 更 高 版 本 中 的 权限 模型 规范 修改 "一 节 ) ， 安装 时 授予 应 用 申请 的 所 有 权限 。 
但 是 ， 在 Android 6.0 及 更 高 版 本 中 ， 应 用 开发 人 员 必 须 以 这 样 的 方式 实现 应 用 ， 
即 对 于 危险 权限 ， 应 用 在 适当 的 时 候 请 求 权限 。 当 应 用 请 求 权 限时 ，Android OS 
会 向 用 户 显示 如 下 所 示 的 确认 窗口 ， 请 求 用 户 决 定 ， 是 否 授予 相关 权限 。 WRAP 
允许 使 用 权限 ， 则 应 用 可 以 执行 任何 需要 该 权限 的 操作 。 


该 规范 还 修改 了 权限 授予 的 单位 。 以 前 ， 所 有 权限 都 是 同时 授予 的 ; 在 Android 
6.0 (API Level 23) 及 更 高 版 本 中 ， 权 限 是 单独 授予 的 〈 按 权限 组 ) 。 结合 这 种 修 
改 ， 用 户 现在 可 以 看 到 每 个 权限 的 单独 确认 窗口 ， 允 许 用 户 在 授予 权限 或 拒绝 权限 
时 ， 作 出 更 灵活 的 决定 。 应 用 开发 人 员 必 须 重 新 审视 其 应 用 的 规格 和 设计 ， 并 充分 
考虑 到 权限 被 拒绝 的 可 能 性 。 


Android 6.0 及 更 高 版 本 中 的 权限 模型 URN ' 请 参见 "5.2.3.6 Android 6.0 和 
更 高 版 本 中 的 权限 模型 规范 修改 "部 分 


X 

1) 应 用 声明 他 们 将 使 用 的 权限 

2) 不 要 声明 不 必要 的 权限 

3) 检查 是 否 应 用 被 授予 了 权限 

4) 请 求 权 限 〈 打 开 一 个 对 话 框 来 向 用 户 请 求 权 限 ) 
5) 对 拒绝 使 用 权限 的 情况 实现 适当 的 行为 


AndroidManifest.xml 





Ol 
N 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package="org.jssec.android.permission.permissionrequestingpe 
rmissionatruntime" > 
<!-- *** POINT 1 *** Apps declare the Permissions they will 
use --> 
<!-- Permission to read information on contacts (Protection 
Level: dangerous) --> 
<uses-permission android:name="android.permission.READ_CONTA 
CIS 
<!-- *** POINT 2 *** Do not declare the use of unnecessary P 
ermissions --> 
«application 
android:allowBackup="true" 
android:icon-z"Qmipmap/ic launcher" 
android: label="@string/app_name" 
android: supportsRtl="true" 
android: theme="@style/AppTheme" > 
<activity 
android: name=".MainActivity" 
android: exported="true"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
<activity 
android: name=".ContactListActivity" 
android: exported="false"> 
=</ACLAVILY>= 
</application> 
</manifest> 


MainActivity.java 


package org.jssec.android.permission.permissionrequestingpermiss 
ionatruntime; 


import android.Manifest; 

import android.content.Intent; 

import android.content.pm.PackageManager; 

import android.os.Bundle; 

import android.support.v4.app.ActivityCompat; 
import android.support.v4.content.ContextCompat; 
import android.support.v7.app.AppCompatActivity; 
import android.view.View; 

import android.widget.Button; 

import android.widget.Toast; 
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public class MainActivity extends AppCompatActivity implements V 
iew.OnClickListener { 


private static final int REQUEST_CODE_READ_CONTACTS = 0; 





@Override 

protected void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
Button button - (Button)findViewById(R.id.button); 
button.setOnClickListener(this); 


j 


QOverride 

public void onClick(View v) ( 
readContacts(); 

} 


private void readContacts() { 
// *** POINT 3 *** Check whether or not Permissions have 
been granted to the app 
if (ContextCompat.checkSelfPermission(getApplicationCont 
ext(), Manifest.permission.READ CONTACTS) !- PackageManager .PERM 
ISSION_GRANTED) { 
// Permission was not granted 
// *** POINT 4 *** Request Permissions (open a dialo 
g to request permission from users) 
ActivityCompat.requestPermissions(this, new String[ ] 
(Manifest.permission.READ CONTACTS), REQUEST CODE READ CONTACTS) 


, 





) else { 
// Permission was previously granted 
showContactList(); 


j 


// A callback method that receives the result of the user's 
selection 
QOverride 
public void onRequestPermissionsResult(int requestCode, Stri 
ng[] permissions, int[] grantResults) ( 
switch (requestCode) ( 
case REQUEST CODE READ CONTACTS: 
if (grantResults.length > 0 && grantResults[0] = 
= PackageManager.PERMISSION GRANTED) { 
// Permissions were granted; we may execute 
operations that use contact information 
showContactList(); 
) else { 
// Because the Permission was denied, we may 
not execute operations that use contact information 
// *** POINT 5 *** Implement appropriate beh 
avior for cases in which the use of a Permission is refused 





Toast.makeText(this, String.format("Use of c 
ontact is not allowed."), Toast.LENGTH LONG).show(); 
} 


return; 


} 


// Show contact list 
private void showContactList() { 
// Launch ContactListActivity 
Intent intent = new Intent(); 
intent.setClass(getApplicationContext(), ContactListActi 
vity.class); 
startActivity(intent); 
} 


5.2.2 规则 书 
使 用 内 部 权限 时 ， 请 确保 遵循 以 下 规则 : 


5.2.2.1 Android 的 系统 危险 权限 只 能 用 于 保护 用 户 资产 (必需) 


由 于 不 建议 你 使 用 自己 的 危险 权限 (请 参阅 "5.2.2.2 你 自己 的 危险 权限 不 得 使 用 
(必需 ) ") ， 我 们 将 在 使 用 Android 操作 系统 的 系统 危险 权限 的 前 提 下 进行 。 


不 像 其 他 三 种 类 型 的 权限 ， 危 险 权限 具有 这 个 特性 ， 需 要 用 户 同意 授予 应 用 权限 ， 
在 声明 了 危险 权限 的 设备 上 安装 应 用 时 ， 将 显示 以 下 屏幕 : 随后 ， 用 户 可 以 知道 应 
用 试图 使 用 的 权限 级 别 (危险 权限 和 正常 权限 ) ， 当 用 户 点 击 “安装 "时 ， 应 用 将 被 
授予 权限 ， 然 后 安装 。 


la Declare uses permission... 


Do you want to install this application? It 
will get access to: 


DEVICE ACCESS 


Cancel install 





Figure 5.2-7 


应 用 可 以 处 理 开 发 人 员 和 希望 保护 的 用 户 资产 。 我们 必须 意识 到 ， 危 险 的 权限 只 能 保 
护 用 户 资产 ， 因 为 用 户 只 是 授予 权限 的 人 。 另 一 方面 ， 开 发 人 员 想 要 保护 的 资产 不 
fi JF IE ut Zr ETRAS o 


例如 ， 假 设 应 用 具有 一 个 组 件 ， 只 与 内 部 应 用 通信 ， 它 不 允许 从 其 他 公司 的 任何 应 
用 访问 该 组 件 ， 并 且 通 过 危险 权限 的 保护 来 实现 。 当 用 户 根据 判断 ， 向 另 一 家 公司 
的 应 用 授予 权限 时 ， 需 要 保护 的 内 部 资产 可 能 通过 应 用 授权 来 利用 。 为 了 在 此 类 情 
况 下 保护 内 部 资产 ， 我 们 建议 使 用 内 部 定义 的 签名 权限 。 


5.2.2.2 不 能 使 用 你 自己 的 危险 权限 (必需 ) 


即使 使 用 内 部 定义 的 危险 权限 ， 在 某 些 情况 下 ， 屏 幕 提示 "请求 允许 来 自用 户 的 权 
限 " 也 不 会 显示 。 这 意味 着 ， 有 时 根据 用 户 判 断 来 请 求 权 限 的 特性 (危险 权限 的 特 
AE) 不 起 作用 。 因此 ， 指 导 手 册 规 定 “ 不 得 使 用 内 部 定义 的 危险 权限 ”。 


为 了 解释 它 ， 我 们 假设 有 两 种 类 型 的 应 用 。 第 一 种 类 型 的 应 用 定义 了 内 部 危险 权 
限 ， 并 且 它 让 受 此 权限 保护 的 组 件 公开 。 我 们 称 之 为 ProtectedApp ° 另 一 个 是 
我 们 称 为 AttackerApp ， 它 试图 利用 ProtectedApp 的 组 件 。 我们 还 假 

设 AttackerApp 不 仅 声明 了 使 用 它 的 权限 ， 而 且 还 定义 了 相同 的 权限 。 


在 以 下 情况 下 ， AttackerApp 可 以 在 未 经 用 户 同 意 的 情况 下 ， 使 
用 ProtectedApp 的 组 件 : 


1. 当 用 户 安 装 AttackerApp 时 ， 安 装 将 在 没有 屏幕 提示 的 情况 下 完成 ， 它 要 求 
用 户 授 予 应 用 危险 权限 。 

2. 同样 ， 当 用 户 安装 ProtectedApp 时 ， 安 装 将 会 完成 而 没有 任何 特别 的 警 
告 。 

3， 当 用 户 启动 AttackerApp 后 ， AttackerApp 可 以 访问 ProtectedApp 的 组 
件 ， 而 不 会 被 用 户 检 测 到 ， 这 可 能 会 导致 损失 。 


这 种 情况 的 原因 在 下 面 解释 。 当 用 户 尝试 首先 安装 AttackerApp 时 ， 在 特定 设备 
上 ， 尚 未 使 用 uses-permission 来 定义 声明 的 权限 。 没有 发 现 错误 ，Android 操 
作 系 统 将 继续 安装 。 由 于 只 有 在 安装 时 用 户 才 需要 同意 危险 权限 ， 因 此 已 安装 的 应 
用 将 被 视 为 已 被 授予 权限 。 因此 ， 如 果 稍 后 安装 的 应 用 的 组 件 受 到 名 称 相同 的 危险 
权限 的 保护 ， 则 在 未 经 用 户 同 意 的 情况 下 ， 事 先 安装 的 应 用 将 能 够 利用 该 组 件 。 


此 外 ， 由 于 在 安装 应 用 时 ， 确 保存 在 Android OS 定义 的 系统 危险 权限 ， 每 次 安装 
具有 uses-permission 的 应 用 时 ， 都 会 显示 用 户 验证 提示 。 只 有 在 自 定 义 危 险 权 
限 的 情况 下 才 会 出 现 此 问题 。 在 写 这 篇 文章 的 时 候 ， 还 没有 开发 出 可 行 方法 ， 在 这 
种 情况 下 保护 组 件 的 访问 。 因此 ， 你 不 得 使 用 你 自己 的 危险 权限 。 


5.2.2.3 你 自己 的 签名 权限 必需 仅 在 提供 方 定 义 (必需 ) 


如 “5.2.1.2 如 何 使 用 内 部 定义 的 签名 权限 ， 在 内 部 应 用 之 间 进 行 通信 ”中 所 示 ， 在 进 
行内 部 应 用 之 间 的 内 部 通信 时 ， 通 过 检查 签名 权限 ， 可 以 确保 安全 性 。 当 使 用 这 种 
机 制 时 ， 保 护 级 别 为 签名 的 权限 的 定义 ， 必 须 写 在 具有 组 件 的 提供 方 应 用 

的 AndroidManifest.xml 中 ， 但 用 户 方 应 用 不 能 定义 签名 权限 。 


此 规则 也 适用 于 signatureOrSystem 权限 。 原 因 如 下 。 


我 们 假设 ， 在 提供 方 应 用 之 前 安装 了 多 个 用 户 方 应 用 ， 并 且 每 个 用 户 方 应 用 ， 不 仅 
要 求 提供 方 应 用 定义 的 签名 权限 ， 而 且 还 定义 了 相同 的 权限 。 在 这 些 情况 下 ， 所 有 
用 户 方 应 用 都 可 以 在 安装 提供 方 应 用 之 后 ， 立 即 访问 提供 方 应 用 MGs RAR 
装 的 用 户 方 应 用 时 ， 权 限 的 定义 也 将 被 删除 ， 然 后 该 权限 将 变 为 未 定义 。 因 此 ， 其 
余 的 用 户 方 应 用 将 无 法 访问 提供 方 应 用 。 


以 这 种 方式 ， 当 用 户 方 应 用 定义 了 一 个 自 定 义 权 限时 ， 它 可 能 会 意外 地 将 权限 设置 
为 未 定义 。 因 此 ， 只 有 提供 需要 保护 的 组 件 的 提供 方 应 用 才 应 该 定义 权限 ， 并 且 必 
须 避 免 在 用 户 方 定义 权限 。 

通过 如 上 所 述 的 那样 ， 自 定义 权限 将 在 安装 提供 方 应 用 时 由 Android OS 应 用 ， 并 
且 在 卸载 应 用 时 权限 将 变 得 未 定义 。 因 此 ， 由 于 权限 定义 总 是 对 应 提供 方 应 用 的 定 
义 ， 因 此 可 以 提供 适当 的 组 件 并 对 其 进行 保护 。 请 注意 ， 这 个 观点 成 立 ， 是 因为 对 
于 内 部 定义 的 签名 权限 ， 用 户 方 应 用 被 授予 权限 ， 而 不 管 应 用 在 相互 通信 中 的 安装 
顺序 [24] ° 


[24] 如 果 使 用 正常 /危险 权限 ， 并 且 用 户 方 应 用 安装 在 提供 方 应 用 之 前 ， 则 该 权 
限 将 不 会 授予 用 户 方 应 用 ， 权 限 仍 未 定义 。 因此 ， 即 使 在 安装 了 提供 方 应 用 之 
后 ， 也 不 能 访问 组 件 。 

5.2.2.4 验证 内 部 定义 的 签名 权限 是 否 由 内 部 应 用 定义 (必需) 


实际 上 ， 只 有 通过 AnroidManifest.xml 声明 签名 权限 并 使 用 权限 来 保护 组 件 ， 
才能 说 是 足够 安全 。 此 问题 的 详细 信息 ， 请 参阅 “高 级 主题 "部 分 中 的 “5.2.3.1 绕 过 
自 定义 签名 权限 的 Android 操作 系统 特性 及 其 对 策 ”。 


以 下 是 安全 并 正确 使 用 内 部 定义 的 签名 权限 的 步骤 © 

首先 ， 在 AndroidManifest.xml 中 编写 如 下 代码 : 

在 提供 方 应 用 的 AndroidManifest.xml 中 定义 内 部 签名 权限 。 (权限 定义 ) 
例 


如 : «permission android:name="xxx" android:protectionLevel-"signatur 


在 提供 方 应 用 的 AndroidManifest.xml 中 ， 使 用 要 保护 的 组 件 的 权限 属性 强制 执 
行 权 限 。 (执行 权限 ) 


例如 : «activity android:permission-z"xxx" ... >...</activity> 


在 每 个 用 户 方 应 用 的 AndroidManifest.xml 中 ， 使 用 uses-permission 标签 声 
明 内 部 定义 的 签名 权限 ， 来 访问 要 保护 的 组 件 。 《使 用 权限 声明 ) 


例如 : «uses-permission android:name="xxx" /> 
下 面 ， 在 源 代 码 中 实现 这 些 : 


在 处 理 组 件 的 请 求 之 前 ， 首 先 验 证 内 部 定义 的 签名 权限 是 否 由 内 部 应 用 定义 。 wR 
不 是 ， 请 忽略 该 请 求 。 (保护 提供 方 组 件 ) 


在 访问 组 件 之 前 ， 请 先 验证 内 部 定义 的 签名 权限 是 否 由 内 部 应 用 定义 。 SM 387 
访问 组 件 (用 户 方 组 件 中 的 保护 ) e 

最 后 ， 使 用 Android Studio 的 签名 功能 之 前 ， 执 行 下 列 事情 

使 用 相同 的 开发 人 员 蜜 钥 ， 对 所 有 互相 通信 的 应 用 的 APK 进行 签名 。 


在 此 ， 对 于 如 何 实现 “确认 内 部 定义 签名 权限 已 由 内 部 应 用 定义 ”的 具体 要 点 ， 请 参 
阅 “5.2.1.2 如 何 使 用 内 部 定义 的 签名 权限 ， 在 内 部 应 用 之 间 进 行 通信 ”。 


此 规则 也 适用 于 signatureOrSystem 权限 。 


5.2.2.5 不 应 该 使 用 你 自己 的 普通 权限 (推荐 ) 


应 用 只 需 在 AndroidManifest.xml 中 使 用 uses-permission 声明 ， 即 可 使 用 正 
常 权限 。 因此， 你 不 能 使 用 正常 权限 ， 来 保护 组 件 免 受 恶意 软件 的 安装 。 


此 外 ， 在 使 用 自 定义 普 + 通 权限 进行 应 用 间 通 信 的 情况 下 ， 应 用 是 否 可 以 被 授予 权限 
取决 于 安装 顺序 。 例如 ， 当 你 安装 已 声明 使 用 普通 权限 的 应 用 (用 户 方法 ) > FA 
A 一 应 用 (提供 者 端 ) 之 前 ， 它 拥有 已 定义 权限 的 组 件 ， 用 户 方 应 用 将 无 法 访问 
受权 限 保 护 的 组 件 ， 即 使 稍 后 安装 提供 方 应 用 也 是 如 此 。 


作为 一 种 方法 ， 防 止 由 于 安装 顺序 而 导致 的 应 用 间 通 信 丢 失 ， 你 可 以 考虑 在 通信 中 
的 每 个 应 用 中 定义 权限 。 通 过 这 种 方式 ， 即 使 在 提供 方 应 用 之 前 安装 了 用 户 方 应 

用 ， 上 所 有 用 户 方 应 用 也 将 能 够 访问 提供 方 应 用 。 但 是 ， 它 会 产生 一 种 情况 ， 即 在 御 
载 第 一 个 安装 的 用 户 方 应 用 时 ， 权 限 未 定义 。 因此， 即使 有 其 他 用 户 方 应 用 ， 他 们 
也 无 法 访问 提供 方 应 用 。 


如 上 所 述 ， 存 在 损害 应 用 可 用 性 的 风险 ， 因 此 不 应 使 用 你 自己 的 正常 权限 。 


5.2.2.6 你 自己 的 权限 名 称 的 字符 串 应 该 是 应 用 包 名 的 扩展 (48 

8) 

当 多 个 应 用 使 用 相同 名 称 定义 权限 时 ， 将 使 用 先 安装 的 应 用 所 定义 的 保护 级 别 。 如 

果 首 先 安 装 的 应 用 定义 了 正常 权限 ， 并 且 稍 后 安装 的 应 用 使 用 相同 的 名 称 定义 了 签 

名 权限 ， 则 签名 权限 的 保护 将 不 可 用 。 即使 没有 恶意 的 意图 ， 多 个 应 用 之 间 的 权限 

名 称 冲 突 ， 也 可 能 导致 任何 应 用 的 行为 成 为 意外 的 保护 级 别 。 为 防止 发 生 此 类 事 
建议 权限 名 称 扩 展 于 定义 权限 的 应 用 的 包 名 (以 它 开头 ) ， 如 下 所 示 。 


(package name).permission.(identifying string) 
例如 ， 为 org.jssec.android.sample 包 定 义 READ 访问 权限 时 ， 以 下 名 称 将 是 
首选 。 


org.jssec.android.sample.permission.READ 


5.2.2 规则 书 
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5.2.3 高 级 话题 


5.2.3.1 绕 过 自 定义 签名 许可 的 Android 操作 系统 特性 及 其 对 策 


自 定义 签名 权限 是 一 种 权限 ， 实 现 使 用 相同 开发 人 员 密 铀 签名 的 应 用 之 间 的 应 用 间 

通信 。 由 于 开发 人 员 密 铀 是 私 钥 ， 不 能 公开 ， 因 此 只 有 在 内 部 应 用 互相 通信 的 情况 

下 ， 才 有 权 使 用 签名 权限 进行 保护 。 

首先 ， 我 们 将 描述 在 Android 的 开发 者 指南 
(http://developer.android.com/guide/topics/security/security.html) 中 解释 的 自 定 

义 签 名 权限 的 基本 用 法 。 但 是 ， 后 面 将 解释 ， 存 在 绕 过 许可 方面 的 问题 。 因 此 ， 

本 指南 中 描述 的 对 策 是 必要 的 。 


以 下 是 自 定义 签名 权限 的 基本 用 法 。 
在 提供 方 应 用 的 AndroidManifest.xml 中 定义 内 部 签名 权限 。 (权限 定义 ) 
4h] 


如 : «permission android:name="xxx" android:protectionLevel-"signatur 


在 提供 方 应 用 的 AndroidManifest.xml 中 ， 使 用 要 保护 的 组 件 的 权限 属性 强制 执 
行 权限 。 (执行 权限 ) 


例如 : «activity android:permission-z"xxx" ... >...</activity> 


在 每 个 用 户 方 应 用 的 AndroidManifest.xml 中 ， 使 用 uses-permission 标签 声 
明 内 部 定义 的 签名 权限 ， 来 访问 要 保护 的 组 件 。 《使 用 权限 声明 ) 


例如 : <uses-permission android:name="xxx" /> 
使 用 相同 的 开发 人 员 密 钥 ， 对 所 有 互相 通信 的 应 用 的 APK 进行 签名 。 
实际 上 ， 如 果 满 足以 下 条 件 ， 这 种 方法 会 存在 漏洞 ， 可 以 绕 过 签名 权限 。 


为 了 便于 说 明 ， 我 们 将 受 自 定义 签名 权限 保护 的 应 用 称 为 ProtectedApp ， 并 
E AttackerApp 是 已 由 不 同 于 ProtectedApp 的 开发 人 员 密 钥 签名 的 应 用 。 Ze 
过 签名 权限 的 漏洞 意味 着 ， 即 使 AttackerApp 的 签名 不 匹配 ， 也 有 可 能 访 

问 ProtectedApp 的 组 件 。 


条 件 1: 


AttackerApp 也 定义 了 正常 权限 ， 与 ProtectedApp 所 定义 的 签名 权限 名 称 相同 
(严格 来 说 ， 签 名 权限 也 是 可 以 接受 的 ) 。 


例 


如 : «permission android:name=" xxx" android:protectionLevel-"normal' 
条 件 2 : 


AttackerApp 使 用 uses-permission 声明 了 自 定义 的 正常 权限 。 


例如 : «uses-permission android:name="xxx" /> 
条 件 3 : 


AttackerApp 安装 在 ProtectedApp 之 前 。 














ProtectedApp 
ProtectedApp AttackerApp 


AndroidManifest. xml 


<permission <permission 
android:namez" xxx" android:namez" xxx" 
android:protectionLevel-" signature" android:protectionLevel-" normal" 
m /» eee / » 


«activity = 
android:permissionz" xxx" > 
</activity> 





gd X, 
Sign with the different developer 
key than ProtectedApp 





Figure 5.2-8 


满足 条 件 1 和 条 件 2 所 需 的 权限 名 称 ， 很 容易 从 APK AndroidManifest.xml x 
件 中 取出 ， 被 攻击 者 知道 。 攻 击 者 也 可 以 用 一 定 的 努力 满足 条 件 3 (例如 欺骗 用 
P) 。 


如 果 只 采用 基本 用 法 ， 就 有 自 定 义 签名 权限 的 绕 过 风险 ， 需 要 采取 防范 此 类 漏洞 的 
对 策 。 具 体 而 言 ， 你 可 以 通过 使 用 “5.2.2.4 验证 内 部 定义 的 签名 权限 是 否 由 内 部 应 
用 定义 "中 描述 的 方法 来 发 现 如 何 解 决 上 述 问题 。 


5.2.3.2 用 户 伪 造 的 AndroidManifest.xml 


我 们 已 经 谈 到 ， 自 定义 权限 的 保护 级 别 可 能 会 被 改变 。 为 了 防止 由 于 这 种 情况 导致 
的 故障 ， 需 要 在 Java 的 源 代 码 一 侧 实 施 某 些 对 策 。 从 AndroidManifest.xml 14 
造 的 角度 来 看 ， 我 们 将 讨论 在 源 代 码 方面 要 采取 的 对 策 。 我 们 将 演示 一 个 可 以 检测 
伪造 的 简单 安装 案例 。 但 请 注意 ， 对 于 出 于 犯罪 目的 而 伪造 的 专业 黑客 来 说 ， 这 些 
Xt FBR AK o 

这 部 分 内 容 关 于 应 用 伪造 和 恶意 用 户 。 尽管 这 本 来 不 属于 指导 手册 的 范围 ， 但 由 于 
这 与 权限 有 关 ， 并 且 这 种 伪造 的 工具 作为 Android 应 用 公开 提供 ， 所 以 我 们 决定 将 
其 称 为 “针对 业余 黑客 的 简单 对 策 ”。 


Sb RICE NE > TUM HER A > RAVE RA root 权限 的 情况 下 ， 被 伪造 
的 应 用 。 原 因 是 应 用 可 以 重建 和 签署 AndroidManifest.xml 文件 。 通 过 使 用 这 些 
应 用 ， 任 何人 都 可 以 删除 已 安装 应 用 的 任何 权限 。 


举 个 例子 ， 似 乎 有 些 情况 下 重建 的 APK 具有 不 同 的 签 

名 ， AndroidManifest.xml 发 生 改 变 ， 并 删除 了 INTERNET 权限 ， 来 使 应 用 中 
附加 的 广告 模块 失效 。 有 些 用 户 称赞 这 些 类 型 的 工具 ， 因 为 任何 个 人 信息 没有 被 泄 
汤 到 任何 地 方 。 由 于 这 些 附加 在 应 用 中 的 广告 停止 运作 ， 此 类 行为 会 对 依靠 广告 收 
入 的 开发 者 造成 金钱 损失 。 而 且 相 信 大 多 数 用 户 没 有 任何 反感 。 


在 下 面 的 代码 中 ， 我 们 展示 了 一 个 实现 的 实例 ， 一 个 使 用 uses-permission 声明 
J INTERNET 权限 的 应 用 ， 验 证 INTERNET 权限 是 否 在 运行 时 
在 AndroidManifest.xml 文件 中 描述 。 


public class CheckPermissionActivity extends Activity { 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
// Acquire Permission defined in AndroidManifest.xml 
List«String» list - getDefinedPermissionList(); 
// Detect falsification 
if( checkPermissions(list) ){ 


// OK 
Log.d("dbg", "OK."); 
}else{ 
Log.d("dbg", "manifest file is stale."); 
finish(); 
} 
} 
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* Acquire Permission through list that was defined in Androi 
dManifest.xml 

* @return 

pd 

private List<String> getDefinedPermissionList(){ 
List<String> list = new ArrayList<String>(); 
list.add("android.permission. INTERNET"); 
return list; 


} 


/ =x 

* Verify that Permission has not been changed Permission 

* @param permissionList 

* @return 

oh 

private boolean checkPermissions(List<String> permissionList ) 


try t 


PackageInfo packageInfo = getPackageManager().getPac 
kageInfo( 
getPackageName(), PackageManager.GET PERMISSIONS); 
String[] permissionArray = packageInfo.requestedPerm 
issions; 

if (permissionArray !- null) ( 

for (String permission : permissionArray) { 
if(! permissionList.remove(permission) ){ 
// Unintended Permission has been added 
return false; 


} 
} 
if(permissionList.size() == 0){ 
// OK 


recur erue; 


} catch (NameNotFoundException e) { } 
return false; 


人 
5.2.3.3 APK 伪造 的 检测 


我 们 在 “5.2.3.2 用 户 伪 造 的 AndroidManifest.xml "中 ， 解 释 了 用 户 对 权限 的 伪造 
mn Alea dE nie ， 在 许多 其 他 情况 下 ， 应 用 在 没有 任何 源 代 
码 更 改 的 情况 下 被 占有 用。 例如， 只 是 通过 将 资源 替换 为 自己 的 应 用 ， 他 们 将 其 他 开 
发 人 员 的 应 用 (伪造 ) 分 发 到 市 场 中 ， 就 好 像 它们 是 自己 的 应 用 一 样 。 在 这 里 ， 我 
们 将 展示 一 个 更 通用 的 方法 ， 来 检测 APK 文件 的 伪造 。 


为 了 伪造 APK， 需 要 将 APK 文件 解码 为 文件 夹 和 文件 ， 修 改 其 内 容 ， 然 后 将 其 重 
建 为 新 的 APK 文件 。 由 于 伪造 者 没有 原始 开发 者 的 密 钥 ， 他 必须 用 他 自己 的 钥匙 
签署 新 的 APK 文件 。 由 于 APK 的 伪造 不 可 避免 地 会 产生 签名 (证 书 ) 的 变化 ， 
此 可 以 通过 比较 APK 中 的 证 书 ， 和 源 代码 中 虞 入 的 开发 人 员 证 书 ， 在 运行 时 检测 
APK 是 否 被 伪造 。 

以 下 是 示例 代码 。 另 外 ， 如 果 使 用 这 个 实现 示例 ， 专 业 黑 客 将 能 够 轻松 绕 过 伪造 检 
测 。 请 注意 这 是 一 个 简单 的 实现 示例 ， 请 将 此 示例 代码 应 用 于 你 的 应 用 。 

要 点 : 

1. 在 开始 主要 操作 之 前 ， 验 证 应 用 的 证 书 是 否 属于 开发 人 员 。 


SignatureCheckActivity.java 


package org.jssec.android.permission.signcheckactivity; 


import org.jssec.android.shared.PkgCert; 
import org.jssec.android.shared.Utils; 
import android.app.Activity; 

import android.content.Context; 

import android.os.Bundle; 

import android.widget.Toast; 


public class SignatureCheckActivity extends Activity { 


// Self signed certificate hash value 
private static String sMyCertHash - null; 


private static String myCertHash(Context context) { 
if (sMyCertHash -- null) ( 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of "androiddebugkey" o 
f debug. 
sMyCertHash - "OEFB7236 328348A9 89718BAD DF57F5 
44 D5CCBAAE B9DB34BC 1E29DD26 F77C8255"; 
) else { 
// Certificate hash value of "my company key" of 
keystore 
sMyCertHash = "D397D343 A5CBC10F 4EDDEB7C A10062 
DE 5690984F 1FB9E88B D7B3A7C2 42E142CA"; 


j 


} 

return sMyCertHash; 
} 
@Override 


public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
// *** POINT 1 *** Verify that an application's certific 
ate belongs to the developer before major processing is started 
if (!PkgCert.test(this, this.getPackageName(), myCertHas 
h(this))) { 
Toast.makeText(this, "Self-sign match NG", Toast.LEN 
GTH. LONG) . show( ) ; 
finish(); 
return; 


j 


Toast.makeText(this, "Self-sign match OK", Toast.LENGTH 


LONG) .show(); 
} 
} 


PkgCert.java 


N 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert ( 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) ( 
if (correctHash -- null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


} 


public static String hash(Context ctx, String pkgname) { 
if (pkgname == null) return null; 
Cry 
PackageManager pm = ctx.getPackageManager(); 
Packagelnfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[0]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 
return byte2hex(sha256); 
) catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
BEW sf 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
} catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) 1 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


5.2.3.4 权限 重 委 托 问题 


访问 联系 人 或 GPS， 它 们 带 有 受 Android OS 保护 的 信息 和 功能 时 ， 应 用 必须 声明 
使 用 权限 。 当 所 需 的 权限 被 授予 时 ， 权 限 被 委托 给 应 用 ， 应 用 将 能 够 访问 受权 限 保 
护 的 信息 和 功能 。 


根据 程序 的 设计 方式 ， 被 授予 权限 的 应 用 可 以 获取 受权 限 保 护 的 数据 。 此 外 ， 应 用 
可 以 向 另 一 个 应 用 提供 受 保 护 数据 ， 而 不 必 强 制 确保 相同 的 权限 ， 这 无 异 于 ， 没 有 
权限 的 应 用 可 以 访问 受权 限 保 护 的 数据 。 这 实际 上 是 重新 授权 ， 称 为 权限 重新 授权 
问题 。 因 此 ， 只 有 Android 的 权限 机 制 的 规范 ， 才 能 够 管理 从 来 自用 程序 的 ， 保 护 
数据 的 直接 访问 的 权限 。 


图 5.2-9 展示 了 一 个 具体 的 例子 。 中 心 的 应 用 表明 ， 已 声 

8] android.permission.READ CONTACTS 的 应 用 使 用 它 来 读 取 联系 人 ， 然 后 将 它 
们 存储 到 其 自己 的 数据 库 中 。 当 已 经 存储 的 信息 通过 内 容 供 应 器 ， 提 供给 另 一 个 应 
用 ， 而 没有 任何 限制 时 ， 就 会 发 生 重 新 授权 问题 。 


Android Device Application that 
has declared 
Uses-permission 


Contacts Application without 
declaration of 
uses-permission 


If appropriate permission setup does not exist in a 
content provider, an application that has not declared 
uses-permission can acquire contact data without permission. 





Figure 5.2-9 An Application without Permission Acquires Contacts 


作为 一 个 类 似 的 例子 ， 声 明了 android.permission.CALL PHONE 的 应 用 ， 使 用 
它 从 另 一 个 应 用 接收 电话 号 码 (可 能 是 用 户 输入 的 ) ， 它 未 声明 相同 权限 。 如 果 该 
号 码 在 未 经 用 户 验 证 的 情况 下 被 呼叫 ， 那 么 也 存在 重新 授权 问题 。 


在 某 些 情况 下 ， 通 过 权限 获得 的 ， 几 乎 完整 的 信息 或 功能 资产 ， 需 要 由 其 他 应 用 二 
次 提供 。 在 这 些 情况 下 ， 供 应 方 应 用 必须 要 求 相 同 权 限 ， 才 能 保持 原始 的 保护 级 
别 。 此 外 ， 在 仅 以 间接 方式 提供 信息 和 功能 资产 的 一 部 分 的 情况 下 ， 根 据 信 息 或 功 
能 资产 的 一 部 分 的 损害 程度 ， 需 要 适当 保护 。 由 “4.1.1.1 创建 /使 用 私有 活 

动 " 或 “4.1.1.4 创建 /使 用 私有 活动 ”， 我 们 可 以 使 用 类 似 于 前 者 的 保护 措施 ， 验 证 用 
户 的 同意 ， 并 设置 目标 应 用 的 活动 限制 ， 以 及 其 他 。 


这 种 重新 授权 问题 不 仅 限 于 Android 权限 。 对 于 Android 应 用 ， 应 用 从 不 同 的 应 

用 ， 网 络 和 存储 介质 中 获取 必要 的 信息 /功能 ， 这 是 常见 的 。 在 很 多 情况 下 ， 访 问 它 
们 需要 一 些 权 限 和 限制 。 例 如 ， 如 果 提 供 者 来 源 的 Android 应 用 ， 则 它 是 权限 ; 如 
果 它 是 网 络 ， 那 么 它 是 登录 机 制 ; 如 果 它 是 存储 介质 ， 则 会 存在 访问 限制 。 因 此 ， 
在 仔细 考虑 后 ， 需 要 对 应 用 实现 这 些 措施 ， 因 为 信息 /功能 不 是 以 与 用 户 意 图 相反 的 
方式 使 用 的 。 以 间接 方式 将 获得 的 信息 /功能 提供 给 另 一 应 用 ， 或 转移 到 网 络 或 存储 
介质 时 ， 这 一 点 尤其 重要 。 根 据 需 要 ， 你 必须 强制 确保 权限 或 限制 使 用 权限 ， 如 
Android 权限 。 询 问 用 户 的 同意 是 解决 方案 的 一 部 分 。 


在 以 下 代码 中 ， 我 们 演示 了 一 个 情况 ， 使 用 READ_CONTACTS 权限 ， 从 联系 人 数据 
库 中 获取 列表 的 应 用 ， 对 信息 的 目标 强制 确保 相同 的 READ CONTACTS 权限 。 


BA: 
强制 确保 提供 者 的 相同 权限 。 


AndroidManifest.xml 


<?xml version="1.0" encofing="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package="org.jssec.android.permission.transferpermission" 
android:versionCode="1" 
android:versionName="1.0" > 
<uses-sdk 
android:minSdkVersion="8" /> 
<uses-permission android:name="android.permission.READ_CONTA 
CTS"/> 
<application 
android:icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android: theme="@style/AppTheme" > 
<activity 
android: name=".TransferPermissionActivity" 
android:label-"Qstring/title activity transfer permissio 
n" > 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
«category android: name="android.intent.category.LAUNCHER 
W /> 
</intent-filter> 
</activity> 
<provider 
android: name="".TransferPermissionContentProvider" 
<!-- *** Pointí *** Enforce the same permission that 
the provider does. --> 
android: authorities="org.jssec.android.permission.tr 
ansferpermission" 
android: enabled="true" 
android: exported="true" 
android: readPermission="android.permission.READ_CONT 
ACES ae 
</provider> 
</application> 
</manifest> 


当 一 个 应 用 确保 多 个 权限 时 ， 上 述 方法 不 会 解决 它 。 通 过 使 用 源 代码 中 
的 Context#checkCallingPermission() 或 PackageManager#checkPermissior 
， 它 验证 调用 者 应 用 是 否 在 清单 中 ， 使 用 uses-permission 声明 了 所 有 权限 。 


在 活动 中 : 


public void onCreate(Bundle savedInstanceState) { 


[...] 


if (checkCallingPermission("android.permission.READ_CONTACTS" 
) == PackageManager.PERMISSION GRANTED 
&& checkCallingPermission("android.permission.WRITE_CONT 
ACTS") == PackageManager.PERMISSION GRANTED) { 
// Processing during the time when an invoker is correct 
ly declaring to use 
returni 
} 


finish(); 
| 


5.2.3.5 自 定义 权限 的 签名 检查 机 制 (Android 5.0 及 以 上 ) 


在 Android 5.0 (API Level 21) 及 更 高 版 本 中 ， 如 果 满 足以 下 条 件 ， 则 无 法 安装 定 
义 其 自 定 义 权 限 的 应 用 。 


1. 在 设备 上 已 经 安装 了 另 一 个 应 用 ， 用 相同 名 称 定 义 了 自 定 义 权 限 。 
2. 应 用 使 用 不 同 的 密 铀 签名 


SHA SRP BR (组 件 ) 的 应 用 ， 和 使 用 该 部 数 的 应 用 ， 定 义 了 具有 相同 名 称 的 
自 定义 权限 ， 并 且 使 用 相同 密 钥 签名 时 ， 上 述 机 制 将 防止 安装 定义 了 自 定义 权限 的 
其 他 公司 的 应 用 同名 。 但是， 如 “5.2.2.3 你 自己 的 签名 权限 必须 仅 在 提供 方 应 用 中 
定义 (必需 ) "中 所 述 ， 该 机 制 对 于 检查 自 定义 权限 是 否 由 你 自己 的 公司 定义 是 行 不 
通 的 ， 因 为 权限 如 果 多 个 应 用 定义 相同 的 权限 ， 在 你 自己 不 知道 的 情况 下 ， 可 能 通 
at fp dE E RAK LAR © 


总 而 言 之 ， 在 Android 5.0 (API Level 21) 和 更 高 版 本 中 ， 当 你 的 应 用 定义 你 自己 
的 签名 权限 时 ， 你 还 需要 遵守 两 个 规则 :“5.2.2.3 你 自己 的 签名 权限 只 能 在 提供 方 
应 用 上 定义 (必需 )“ 和 ”5.2.2.4 验证 内 部 定义 的 签名 权限 是 否 由 内 部 应 用 定义 ( 必 


需 )“ 


o 


5.2.3.6 Android 版 本 6.0 和 更 高 版 本 中 对 权限 模型 规范 的 修改 


Android 6.0 (API Level 23) 引入 了 权限 模型 的 修改 规范 ， 这 些 规范 影响 了 应 用 的 
设计 和 规范 。 在 本 节 中 ， 我 们 将 概述 Android 6.0 及 更 高 版 本 中 的 权限 模型 。 


权限 授予 和 拒绝 的 时 机 


如 果 应 用 声明 使 用 需要 用 户 确 认 的 权限 (危险 权限 ) 【请 参见 “5.2.2.1 Android 系统 
危险 权限 必须 仅 用 于 保护 用 户 资 产 (必需 ) "一 节 】，Android 5.1 (API 级 别 22) 
和 更 早 的 版 本 ， 要 求 在 安装 应 用 时 显示 这 些 权限 的 列表 ， 并 且 用 户 必 须 授予 所 有 权 
限 才 能 继续 安装 。 此 时 ， 应 用 声明 的 所 有 权限 (包括 危险 权限 以 外 的 权限 ) 均 已 授 
PREM: 一 旦 这 些 权 限 被 授予 应 用 ， 它 们 就 会 一 直 有 效 ， 直 到 应 用 从 终端 上 名 
载 o 


但 是 ， 在 Android 6.0 及 更 高 版 本 的 规范 中 ， 应 用 执行 时 会 授予 权限 。 在 安装 应 用 
时 不 会 发 生 权 限 授 予 和 用 户 的 权限 确认 。 当 应 用 执行 需要 危险 权限 的 过 程 时 ， 需 要 
检查 是 否 已 将 这 些 权限 提前 授予 应 用 ; 如 果 没 有 ， 则 必须 在 Android 操作 系统 中 显 
示 确 认 窗 口 ， 来 请 求 用 户 的 同意 [25]。 如 果 用 户 从 确认 窗口 授予 权限 ， 则 将 权限 授 
PRA o 但是， 用 户 授予 应 用 的 权限 (危险 权限 ) 可 以 随时 通过 设置 菜单 撤销 (A 
5.2-10) » 出 于 这 个 原因 ， 必 须 实现 适当 的 过 程 ， Tee 生 不 规则 的 行 
为 ， 即 使 在 因为 未 授予 权限 ， 而 无 法 访问 所 需 的 信息 或 功能 的 情况 下 。 


[25] 由 于 正常 权限 和 签名 权限 是 由 Android OS 自动 授予 的 ， 因 此 不 需要 获取 
用 户 对 这 些 权 限 的 确认 。 


权限 授予 和 拒绝 的 单位 


根据 与 之 相关 的 功能 和 信息 类 型 ， 可 以 将 多 个 权限 组 合 在 一 起 称 为 权限 组 。 例 如， 
读 取 日 历 信息 所 需 的 权限 android.permission.READ CALENDAR 以 及 写 入 日 历 信 
息 所 需 的 权限 android.permission.WRITE_CALENDAR 都 关联 权限 

组 android.permission-group.CALENDAR 。 


在 Android 6.0 及 更 高 版 本 的 新 权限 模型 中 ， 权 限 的 授予 和 撤销 可 以 使 用 权限 组 统 
一 执行 。 因此， 当 一 个 应 用 在 运行 时 请 

求 android.permission.READ CALENDAR 并 且 用 户 同意 该 请 求 时 ，Android OS 
的 行为 就 

像 android.permission.READ_CALENDAR 和 android.permission.WRITE CALEM 
都 已 被 授权 一 样 。 如果 随后 请 求 android.permission.WRITE CALENDAR 权限 ， 
则 操作 系统 不 会 向 用 户 显示 对 话 框 ， 而 是 直接 授予 权限 。 


权限 组 分 类 的 更 多 信息 ， 请 参阅 开发 人 员 参 考 
(http://developer.android.com/intl/ja/guide/topics/security/permissions.html#perm 
-groups) ° 


修改 后 的 规范 的 影响 范围 


应 用 在 运行 时 需要 权限 请 求 的 情况 ， 仅 限于 终端 运行 Android 6.0 或 更 高 版 本 ， 并 
且 应 用 的 targetSDKVersion 为 23 或 更 高 的 情况 。 如 果 终 端 运行 的 是 Android 
5.1 或 更 低 版 本 ， 或 者 应 用 的 targetSDKVersion 为 22 或 更 低 ， 则 安装 时 会 完全 
请 求 和 授予 权限 ， 这 与 传统 情况 相同 。 但 是 ， 如 果 终 端 运行 的 是 Android 6.0 或 更 
staan ， 则 即使 应 用 的 e 低 于 23， 用 户 在 安装 时 授予 的 权限 也 

能 随时 被 用 户 撤销 。 这 会 造成 应 用 意外 终止 的 可 能 性 。 开发 人 员 必 须 遵守 修改 
pay ， 或 将 应 用 的 Dh 设置 为 22 或 更 低 版 本 ， 来 确保 该 应 用 不 
能 安装 在 运行 Android 6.0 (API Level 23) 或 更 高 版 本 (Š 5.2-1) 的 终端 上 。 


表 .2-1 


Android OS # 应 用 应 用 被 授予 权 用 户 是 否 能 


端 版 本 的 targetSDKVersion 限 的 时 机 控制 权限 
>= 6.0 >= 23 执行 时 是 
= ae ae ge 是 (需要 快 
>= 6.0 < 23 RAY Hen) 
<= 5.1 >= 23 安装 时 T 
<= 5.1 <23 安装 时 G 


但 是 ， 应 该 注意 ， maxSdkVersion 的 影响 是 有 限 的 。 当 maxSdkVersion 的 值 设 
置 为 22 或 更 低 时 ，Android 6.0 (API Level 23) 和 更 高 版 本 的 设备 ， 不 再 被 列 为 
Google Play 中 目标 应 用 的 可 安装 设备 。 另 一 方面 ， 由 于 未 在 Google Play 以 外 的 
市 场 中 检查 maxsdkversion 的 值 ， 因 此 可 能 会 在 Android 6.0 (API Level 23) 或 
更 高 版 本 中 安装 目标 应 用 。 由 于 maxsdkversion 的 效果 有 限 ，Google 不 建议 使 
用 maxSdkVersion ， 因 此 建议 开发 人 员 立 即 遵 守 修 改 后 的 规范 。 


在 Android 6.0 及 更 高 版 本 中 ， 以 下 网 络 通 信 权 限 的 保护 级 别 从 危险 更 改 为 正常 。 
因此 ， 即 使 应 用 声明 使 用 这 些 权 限 ， 也 不 需要 获得 用 户 的 显 式 统一 ， 因 此 修改 后 的 
规范 在 此 情况 下 不 会 产生 影响 。 


android.permission.BLUETOOTH 
android.permission.BLUETOOTH_ADMIN 
android.permission.CHANGE_WIFI_MULTICAST_STATE 
android.permission.CHANGE_WIFI_STATE 
android.permission.CHANGE_WIMAX_STATE 
android.permission.DISABLE_KEYGUARD 
android.permission. INTERNET 

android. permission.NFC 


5.3 将 内 部 账户 添加 到 账户 管理 器 


账户 管理 器 是 Android OS 的 系统 ， 它 集中 管理 帐户 信息 ， 是 应 用 访问 在 线 服务 和 
认证 令 牌 所 必需 的 (帐户 名 称 ， 密 码 ) 。 用 户 需 要 提前 将 账户 信息 注册 到 账户 管理 
器 ， 当 应 用 尝试 访问 在 线 服务 时 ， 账 户 管理 器 在 获得 用 户 权 限 后 ， 会 自动 提供 应 用 
认证 令 牌 。 账 户 管理 器 的 优势 在 于 ， 应 用 不 需要 处 理 极 其 敏感 的 信息 和 密码 。 


使 用 账户 管理 器 的 账户 管理 功能 的 结构 如 下 图 5.3-1 所 示 。“ 请 求 应 用 "是 通过 获取 
认证 令 牌 ， 访 问 在 线 服务 的 应 用 ， 这 是 上 述 应 用 。 另 一 方面 ，“ 认 证 器 应 用 "是 账户 
管理 器 的 功能 扩展 ， 并 且 向 账户 管理 器 提供 称 为 认证 器 的 对 象 ， 以 便 账户 管理 器 可 
集中 管理 在 线 服务 的 账户 信息 和 认证 令 牌 。 请 求 应 用 和 认证 器 应 用 不 需要 是 单独 的 
应 用 ， 因 此 这 些 应 用 可 以 实现 为 单个 应 用 。 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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Figure 5.3-1 Configuration of account management function which uses Account Manager 


最 初 ， 用 户 应 用 ARAM) 和 认证 器 应 用 的 开发 人 员 签 名 密 钥 可 以 是 不 同 的 窗 

钥 。 但是，Android 框架 的 错误 仅 在 Android 4.0.x 设备 中 存在 ， 并 且 当 用 户 应 用 
和 认证 期 应 用 的 签名 密 铀 不 同时 ， 用 户 应 用 中 会 发 生 弄 常 ， 并 且 不 能 使 用 内 部 账 

P o 以 下 示例 代码 没有 针对 此 缺陷 实现 任何 替代 方式 。 详细 信息 请 参阅 “5.3.3.2 在 
Android 4.0.x 中 ， 用 户 应 用 和 认证 程序 的 签名 密 钥 不 同时 发 生 的 异常 "。 


5.3.1 示例 代码 


“5.3.1.1 创建 内 部 帐户 ”是 认证 器 应 用 的 示例 ，“5.3.1.2 使 用 内 部 帐户 ?是 请 求 应 用 的 
示例 。 在 JSSEC 网 站 上 分 发 的 示例 代码 集中 ， 每 个 代码 集 都 对 应 账户 管理 器 的 认 
证 器 和 用 户 。 


5.3.1.1 创建 内 部 账户 


以 下 是 认证 器 应 用 的 示例 代码 ， 它 使 账户 管理 器 能 够 使 用 内 部 帐户 。 在 此 应 用 中 没 
有 可 以 从 主屏 幕 启 动 的 活动 。 请 注意 ， 它 间接 通过 账户 管理 器 ， 从 另 一 个 示例 代 
码 “5.3.1.2 使 用 内 部 帐户 ”调用 。 


要 点 : 


. 提供 认证 器 的 服务 必须 是 私有 的 。 

. 登录 界面 的 活动 必须 在 验证 器 应 用 中 实现 。 
登录 界面 的 活动 必须 实现 为 公共 活动 。 
指定 登录 界面 的 活动 的 类 名 的 显 式 意图 ， 必 须 设置 为 KEY_INTENT ° 
敏感 信息 (如 帐户 信息 或 认证 令 牌 ) 不 得 输出 到 日 志 中 。 
.密码 不 应 保存 在 帐户 管理 器 中 。 

. HTTPS 应 该 用 于 认证 器 与 在 线 服 务 之 间 的 通信 


NDNPUYN A 


o 


提供 认证 器 的 账户 管理 器 [Binder 的 服务 ， 在 AndroidManifest.xml 中 定义 。 通 
过 元 数据 指定 编写 认证 器 的 资源 XML 文件 。 


账户 管理 器 认证 器 /AndroidManifest.xml 


5.3.1 示例 代码 


<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.accountmanager.authenticator" 
xmlns:tools-"http://schemas.android.com/tools"» 
<!-- Necessary Permission to implement Authenticator --> 
<uses-permission android:name="android.permission.GET_ACCOUN 
IS 
«uses-permission android:name="android.permission.AUTHENTICA 
TE ACCOUNTS" /» 
«application 
android:allowBackup="false" 
android: icon="@drawable/ic_launcher" 
android: label="@string/app_name" > 
<!-- Service which gives IBinder of Authenticator to Acc 
ountManager --> 
<!-- *** POINT 1 *** The service that provides an authen 
ticator must be private. --> 
«service 
android:namez".AuthenticationService" 
android:exported="false" > 
<!-- intent-filter and meta-data are usual pattern. 


<intent-filter> 
<action android:name="android.accounts.AccountAu 
thenticator" /> 
«/intent-filter» 
«meta-data 
android:namez"android.accounts.AccountAuthenticator" 
android:resourcez'Qxml/authenticator" /> 


</service> 

<!-- Activity for for login screen which is displayed wh 
en adding an account --> 

«I2- *** POINT 2 *** The login screen activity must be i 
mplemented in an authenticator applicati 

on. --> 

<!-- *** POINT 3 *** The login screen activity must be m 
ade as a public activity. --> 

<activity 


android: name="".LoginActivity" 
android: exported="true" 
android: label="@string/login_activity_title" 
android: theme="@android:style/Theme.Dialog" 
tools:ignore="ExportedActivity" /> 
</application> 
</manifest> 


通过 XML 文件 定义 认证 器 ， 指 定 内 部 账户 的 账户 类 型 以 及 其 他 。 


res/xml/authenticator.xml 


362 


«account-authenticator xmlns:android="http://schemas.android.com 
/apk/res/android" 
android: accountType="org.jssec.android.accountmanager" 
android:icon-"Qdrawable/ic launcher" 
android: label="@string/label" 
android: smallIcon="@drawable/ic_launcher" 
android: customTokens="true" /> 


A AccountManager 提供 Authenticator 实例 的 服务 。 简单 的 实现 返 
回 JssecAuthenticator 类 的 实例 ， 它 就 是 由 onBind() 在 此 示例 中 实现 
的 Authenticator ， 这 就 足够 了 。 


AuthenticationService.java 


package org.jssec.android.accountmanager.authenticator; 


import android.app.Service; 
import android.content.Intent; 
import android.os.IBinder; 


public class AuthenticationService extends Service { 
private JssecAuthenticator mAuthenticator; 


QOverride 
public void onCreate() ( 

mAuthenticator - new JssecAuthenticator(this); 
j 


QOverride 

public IBinder onBind(Intent intent) { 
return mAuthenticator.getIBinder(); 

} 


JssecAuthenticator 是 在 此 示例 中 实现 的 认证 器 。 它 继承 

了 AbstractAccountAuthenticator ， 并 且 实 现 了 所 有 的 抽象 方法 。 这 些 方法 由 
账户 管理 器 调用 。 在 addAccount() 和 getAuthToken() F° ATÈ 

动 LoginActivity ， 从 在 线 服 务 中 获取 认证 令 牌 的 意图 返回 到 账户 管理 器 。 


JssecAuthenticator.java 


package org.jssec.android.accountmanager.authenticator; 


import android.accounts.AbstractAccountAuthenticator; 
import android.accounts.Account; 

import android.accounts.AccountAuthenticatorResponse; 
import android.accounts.AccountManager ; 


import android.accounts.NetworkErrorException; 
import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 


public class JssecAuthenticator extends AbstractAccountAuthentic 
ator ( 


public static final String JSSEC ACCOUNT TYPE - "org.jssec.a 
ndroid.accountmanager"; 

public static final String JSSEC AUTHTOKEN TYPE = "webservic 
e"; 

public static final String JSSEC AUTHTOKEN LABEL - "JSSEC We 
b Service"; 

public static final String RE AUTH NAME = "reauth name"; 

protected final Context mContext; 


public JssecAuthenticator(Context context) 1 
super(context); 
mContext - context; 


j 


QOverride 
public Bundle addAccount(AccountAuthenticatorResponse respon 
se, String accountType, 
String authTokenType, String[] requiredFeatures, Bundle 
options) 
throws NetworkErrorException { 
AccountManager am = AccountManager.get(mContext); 
Account[] accounts = am.getAccountsByType(JSSEC ACCOUNT - 
TYPE); 
Bundle bundle - new Bundle(); 
if (accounts.length > 0) { 
// In this sample code, when an account already exis 
ts, consider it as an error. 
bundle.putString(AccountManager.KEY ERROR CODE, Stri 
ng.valueOf(-1)); 
bundle.putString(AccountManager.KEY ERROR MESSAGE, 
mContext.getString(R.string.error account exists)); 
} else { 
// *** POINT 2 *** The login screen activity must be 
implemented in an authenticator application. 
// *** POINT 4 *** The explicit intent which the cla 
ss name of the login screen activity is specified must be set to 
KEY INTENT. 
Intent intent - new Intent(mContext, LoginActivity.c 
lass); 
intent.putExtra(AccountManager.KEY ACCOUNT AUTHENTIC 
ATOR RESPONSE, response); 
bundle.putParcelable(AccountManager.KEY INTENT, inte 
nt); 
} 


return bundle; 


e 
Co 
一 入 
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QOverride 
public Bundle getAuthToken(AccountAuthenticatorResponse resp 
onse, Account account, 
String authTokenType, Bundle options) throws NetworkErro 
rException { 
Bundle bundle - new Bundle(); 
if (accountExist(account)) ( 

// *** POINT 4 *** KEY INTENT must be given an expli 
cit intent that is specified the class name of the login screen 
activity. 

Intent intent - new Intent(mContext, LoginActivity.c 
lass); 

intent.putExtra(RE AUTH NAME, account.name); 

bundle.putParcelable(AccountManager.KEY INTENT, inte 
nt); 

} else { 

// When the specified account doesn't exist, conside 
r it as an error. 

bundle.putString(AccountManager.KEY ERROR CODE, Stri 
ng.valueOf(-2)); 

bundle.putString(AccountManager.KEY ERROR MESSAGE, 
mContext.getString(R.string.error account not exists 


2): 


return bundle; 


} 


@Override 

public String getAuthTokenLabel(String authTokenType) { 
return JSSEC AUTHTOKEN LABEL; 

j 


QOverride 
public Bundle confirmCredentials(AccountAuthenticatorRespons 
e response, Account account, 
Bundle options) throws NetworkErrorException { 
return null; 


j 


QOverride 
public Bundle editProperties(AccountAuthenticatorResponse re 
sponse, String accountType) { 
return null; 
J 


QOverride 
public Bundle updateCredentials(AccountAuthenticatorResponse 
response, Account account, 
String authTokenType, Bundle options) throws NetworkErro 
rException ( 
return null; 


} 


@Override 
public Bundle hasFeatures(AccountAuthenticatorResponse respo 
nse, Account account, 
String[] features) throws NetworkErrorException { 
Bundle result = new Bundle(); 
result.putBoolean(AccountManager.KEY BOOLEAN RESULT, fal 
se); 


j 


private boolean accountExist(Account account) ( 
AccountManager am = AccountManager.get(mContext); 
Account[] accounts = am.getAccountsByType(JSSEC ACCOUNT __- 


return result; 


TYPE); 
for (Account ac : accounts) ( 
if (ac.equals(account)) { 
recurn erue; 
} 
} 
return false; 
} 
} 


这 是 登录 活动 ， 它 向 在 线 服务 发 送 帐 户 名 称 和 密码 ， 并 执行 登录 认证 ， 并 因此 获得 
认证 令 牌 。 它 会 在 添加 新 帐户 或 再 次 获取 认证 令 牌 时 显示 。 假设 在 线 服 务 的 实际 
访问 在 WebService 类 中 实现 。 


LoginActivity.java 


package org.jssec.android.accountmanager.authenticator; 


import org.jssec.android.accountmanager.webservice.WebService; 
import android.accounts.Account; 

import android.accounts.AccountAuthenticatorActivity; 
import android.accounts.AccountManager; 

import android.content.Intent; 

import android.os.Bundle; 

import android.text.InputType; 

import android.text.TextUtils; 

import android.util.Log; 

import android.view.View; 

import android.view.Window; 

import android.widget.EditText; 


public class LoginActivity extends AccountAuthenticatorActivity 


{ 


private static final String TAG = AccountAuthenticatorActivi 
ty.class.getSimpleName(); 


private String mReAuthName = null; 
private EditText mNameEdit = null; 
private EditText mPassEdit = null; 


@Override 
public void onCreate(Bundle icicle) { 
super .onCreate(icicle); 
// Display alert icon 
requestwindowFeature(Window.FEATURE LEFT ICON); 
setContentView(R.layout.login activity); 
getWindow().setFeatureDrawableResource(Window.FEATURE LE 
FT ICON, 
android.R.drawable.ic dialog alert); 
// Find a widget in advance 
mNameEdit - (EditText) findViewById(R.id.username edit); 
mPassEdit - (EditText) findViewById(R.id.password edit); 
// *** POINT 3 *** The login screen activity must be mad 
e as a public activity, and suppose the attack access from other 
application. 
// Regarding external input, only RE AUTH NAME which is 
String type of IntentZextras, are handled. 
// This external input String is passed toextEdit#setTex 
t(), WebService#login(),new Account(), 
// as a parameter,it's verified that there's no problem 
if any character string is passed. 
mReAuthName - getIntent().getStringExtra(JssecAuthentica 
tor.RE AUTH NAME); 
if (mReAuthName !- null) ( 
// Since LoginActivity is called with the specified user 
name, user name should not be editable. 
mNameEdit.setText(mReAuthName); 
mNameEdit.setlInputType(InputType.TYPE NULL); 
mNameEdit.setFocusable(false); 
mNameEdit.setEnabled(false); 
} 
} 


// It's executed when login button is pressed. 
public void handleLogin(View view) { 
String name = mNameEdit.getText().toString(); 
String pass = mPassEdit.getText().toString(); 
if (TextUtils.isEmpty(name) || TextUtils.isEmpty(pass)) 


// Process when the inputed value is incorrect 
setResult(RESULT CANCELED); 
finish(); 
} 
// Login to online service based on the inpputted accoun 
t information. 
WebService web = new WebService(); 
String authToken = web.login(name, pass); 
if (TextUtils.isEmpty(authToken)) { 
// Process when authentication failed 


setResult (RESULT_CANCELED) ; 
finish(); 
j 
// Process when login was successful, is as per below. 
// *** POINT 5 *** Sensitive information (like account i 
nformation or authentication token) must not be output to the lo 
g. 
Log.i(TAG, "WebService login succeeded"); 
if (mReAuthName == null) ( 
// Register accounts which logged in successfully, t 
o aAccountManager 
// *** POINT 6 *** Password should not be saved in A 
ccount Manager. 
AccountManager am = AccountManager.get(this); 
Account account - new Account(name, JssecAuthenticat 
Or.JSSEC ACCOUNT TYPE); 
am.addAccountExplicitly(account, null, null); 
am.setAuthToken(account, JssecAuthenticator.JSSEC AU 
THTOKEN TYPE, authToken); 
Intent intent - new Intent(); 
intent.putExtra(AccountManager.KEY ACCOUNT NAME, nam 


e); 
intent.putExtra(AccountManager.KEY ACCOUNT TYPE, 
JssecAuthenticator.JSSEC ACCOUNT TYPE); 
setAccountAuthenticatorResult(intent.getExtras()); 
setResult(RESULT OK, intent); 
} else { 
// Return authentication token 
Bundle bundle = new Bundle(); 
bundle.putString(AccountManager.KEY ACCOUNT NAME, na 
me); 
bundle.putString(AccountManager.KEY ACCOUNT TYPE, 
JssecAuthenticator.JSSEC ACCOUNT TYPE); 
bundle.putString(AccountManager.KEY AUTHTOKEN, authT 
oken); 
setAccountAuthenticatorResult(bundle); 
setResult(RESULT OK); 
} 
finish(); 
} 
} 


实际 上 ， WebService 类 在 这 里 是 虚拟 实现 ， 这 是 假设 认证 总 是 成 功 的 示例 实 
现 ， 并 且 国 定 字 符 串 作为 认证 令 牌 返回 。 


WebService.java 


package org.jssec.android.accountmanager .webservice; 
public class WebService { 


ys 


* Suppose to access to account managemnet function of online 
service. 


* @param username Account name character string 
* (param password password character string 
* return Return authentication token 
*/ 
public String login(String username, String password) { 
// *** POINT 7 *** HTTPS should be used for communicatio 
n between an authenticator and the online services. 
// Actually, communication process with servers is imple 
mented here, but Omit here, since this is a sample. 
return getAuthToken(username, password); 
} 


private String getAuthToken(String username, String password) 
{ 


// In fact, get the value which uniqueness and impossibi 
lity of speculation are guaranteed by the server, 


// but the fixed value is returned without communication 
here, Since this is sample. 


return "c2f981bdab5f34f90c0419e171f60f45c"; 
} 


E 到 


5.3.1.2 使 用 内 部 账户 


以 下 是 应 用 示例 代码 ， 它 添加 内 部 帐户 并 获取 认证 令 牌 。 当 另 一 个 示例 应 
用 “5.3.1.1 创建 内 部 帐户 ?安装 在 设备 上 时 ， 可 以 添加 内 部 帐户 或 获取 认证 令 牌 。 仅 
当 两 个 应 用 的 签名 密 钥 不 同时 ， 才 会 显示 “访问 请 求 " 界 面 。 





在 验证 认证 器 是 否 正 常 之 后 ， 执 行 账户 流程 。 


AccountManager 用 户 应 用 的 AndroidManifest.xml 。 声明 使 用 必要 的 权限 。 
请 参阅 “5.3.3.1 账户 管理 器 和 权限 的 使 用 "来 了 解 必 要 的 权限 。 


账户 管理 器 用 户 /AndroidManifest.xml 


<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 
package-"org.jssec.android.accountmanager.user" > 
«uses-permission android:name-"android.permission.GET ACCOUN 
LU 
«uses-permission android:name-"android.permission.MANAGE ACC 
OUNTS" /» 
«uses-permission android:name-"android.permission.USE CREDEN 
TIALS /> 
<application 
android:allowBackup="false" 
android:icon="@drawable/ic_launcher" 
android: label="@string/app_name" 
android: theme="@style/AppTheme" > 
<activity 
android: name=".UserActivity" 
android: label="@string/app_name" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
= 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


BE | 


用 户 应 用 的 活动 。 当 点 击 屏幕 上 的 按钮 时 ， 会 执 
^f addAccount() 或 getAuthToken() 。 在 某 些 情况 下 ， 对 应 特定 帐户 类 型 的 认 
证 器 可 能 是 伪造 的 ， 因 此 请 注意 在 验证 认证 器 正常 后 ， 启 动 帐 户 流程 。 


UserActivity.java 


package org.jssec.android.accountmanager.user; 


import java.io.IOException; 

import org.jssec.android.shared.PkgCert; 

import org.jssec.android.shared.Utils; 

import android.accounts.Account; 

import android.accounts.AccountManager; 

import android.accounts.AccountManagerCallback; 
import android.accounts.AccountManagerFuture; 


import android.accounts.AuthenticatorDescription; 
import android.accounts.AuthenticatorException; 
import android.accounts.OperationCanceledException; 
import android.app.Activity; 

import android.content.Context; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.TextView; 


public class UserActivity extends Activity ( 


// Information of the Authenticator to be used 

private static final String JSSEC ACCOUNT TYPE - "org.jssec. 
android.accountmanager"; 

private static final String JSSEC TOKEN TYPE - "webservice"; 

private TextView mLogView; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.user activity); 
mLogView - (TextView)findViewById(R.id.logview); 

j 


public void addAccount(View view) { 

logLine(); 

logLine("Add a new account"); 

// *** POINT 1 *** Execute the account process after ver 
ifying if the authenticator is regular one. 

if (!checkAuthenticator()) return; 

AccountManager am = AccountManager.get(this); 

am.addAccount(JSSEC ACCOUNT TYPE, JSSEC TOKEN TYPE, null 
pb tS 

new AccountManagerCallback<Bundle>() { 


@Override 
public void run(AccountManagerFuture<Bundle> fut 
ure) { 
EEY 
Bundle result = future.getResult(); 
String type = result.getString(AccountMa 
nager.KEY ACCOUNT TYPE); 
String name - result.getString(AccountMa 
nager.KEY ACCOUNT NAME); 
if (type != null && name != null) { 
logLine("Add the following accounts:" 
); 
logLine(" Account type: %s", type); 
logLine(" Account name: %s", name); 
) else { 
String code - result.getString(Accou 
ntManager.KEY ERROR CODE); 
String msg - result.getString(Accoun 


tManager.KEY ERROR MESSAGE); 
logLine("The account cannot be added" 
); 


logLine(" Error code 96s: 96s", code, 


msg); 
} 
} catch (OperationCanceledException e) { 
} catch (AuthenticatorException e) { 
} catch (IOException e) { 
} 
Pe MULNA 
} 
public void getAuthToken(View view) { 


logLine(); 

logLine("Get token"); 

// *** POINT 1 *** After checking that the Authenticator 

is the regular one, execute account process. 

if (!checkAuthenticator()) return; 

AccountManager am - AccountManager.get(this); 

Account[] accounts = am.getAccountsByType(JSSEC ACCOUNT - 

TYPE); 

if (accounts.length > 0) { 
Account account = accounts[0]; 
am.getAuthToken(account, JSSEC_TOKEN_TYPE, null, this 


new AccountManagerCallback<Bundle>() { 


@Override 
public void run(AccountManagerFuture<Bundle> 
future) { 
try { 
Bundle result = future.getResult(); 
String name = result.getString(Accou 
ntManager.KEY ACCOUNT NAME); 
String authtoken - result.getString( 
AccountManager.KEY AUTHTOKEN); 
logLine("%s-san's token:", name); 
if (authtoken !- null) ( 
logLine(" %s", authtoken); 
) else { 
logLine(" Couldn't get"); 
} 
} catch (OperationCanceledException e) { 
logLine(" Exception: %s",e.getClass( 
).getName()); 
} catch (AuthenticatorException e) { 
logLine(" Exception: %s",e.getClass( 
).getName()); 
) catch (IOException e) { 
logLine(" Exception: %s",e.getClass( 
).getName( )); 


5.3.1 示例 代码 


} 


} 
}, null); 
} else { 
logLine("Account is not registered. "); 
} 


} 


// *** POINT 1 *** Verify that Authenticator is regular one. 
private boolean checkAuthenticator() { 
AccountManager am = AccountManager.get(this); 
String pkgname = null; 
for (AuthenticatorDescription ad : am.getAuthenticatorTy 
pes()) t 
if (JSSEC_ACCOUNT_TYPE.equals(ad.type)) { 
pkgname = ad.packageName; 
break; 


} 


if (pkgname == null) { 
logLine("Authenticator cannot be found."); 
return false; 
} 
logLine(" Account type: %s", JSSEC ACCOUNT_TYPE); 
logLine(" Package name of Authenticator: "); 
logLine(" %s", pkgname); 
if (!PkgCert.test(this, pkgname, getTrustedCertificateHa 
sh(this))) { 
logLine(" It's not regular Authenticator(certificate 
is not matched. )"); 
return false; 
} 


logLine(" This is regular Authenticator."); 
return true; 


} 


// Certificate hash value of regular Authenticator applicati 
on 
// Certificate hash value can be checked in sample applciati 
on JSSEC CertHash Checker 
private String getTrustedCertificateHash(Context context) { 
if (Utils.isDebuggable(context)) ( 
// Certificate hash value of debug.keystore "android 
debugkey" 
return "OEFB7236 328348A9 89718BAD DF57F544 D5CCBAAE 
B9DB34BC 1E29DD26 F77C8255"; 
} else { 
// Certificate hash value of keystore "my company ke 


y 
return "D397D343 A5CBC10F 4EDDEB7C A10062DE 5690984F 
1FB9E88B D7B3A7C2 42E142CA"; 


} 
} 


373 


private void log(String str) { 
mLogView.append(str); 
j 


private void logLine(String line) { 
log(line + "¥n"); 
j 


private void logLine(String fmt, Object... args) ( 
logLine(String.format(fmt, args)); 
} 


private void logLine() { 
log("¥n"); 


j 
E NEM pcc SE] wj 


PkgCert.java 


package org.jssec.android.shared; 


import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 

import android.content.Context; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.content.pm.Signature; 


public class PkgCert ( 


public static boolean test(Context ctx, String pkgname, Stri 
ng correctHash) ( 
if (correctHash -- null) return false; 
correctHash = correctHash.replaceAll(" ", ""); 
return correctHash.equals(hash(ctx, pkgname)); 


j 


public static String hash(Context ctx, String pkgname) { 
if (pkgname -- null) return null; 
try { 
PackageManager pm = ctx.getPackageManager(); 
PackageInfo pkginfo = pm.getPackageInfo(pkgname, Pac 
kageManager .GET_SIGNATURES) ; 
if (pkginfo.signatures.length != 1) return null; // 
Will not handle multiple signatures. 
Signature sig = pkginfo.signatures[9]; 
byte[] cert = sig.toByteArray(); 
byte[] sha256 = computeSha256(cert); 


return byte2hex(sha256); 
) catch (NameNotFoundException e) { 
return null; 


} 
} 
private static byte[] computeSha256(byte[] data) { 
try 4 
return MessageDigest.getInstance("SHA-256").digest(d 
ata); 
) catch (NoSuchAlgorithmException e) { 
return null; 
} 
} 


private static String byte2hex(byte[] data) { 
if (data == null) return null; 
final StringBuilder hexadecimal = new StringBuilder(); 
for (final byte b : data) { 
hexadecimal.append(String.format("%02X", b)); 
} 


return hexadecimal.toString(); 


5.3.2 规则 书 


实现 认证 器 应 用 时 ， 遵 循 下 列 规 则 : 


5.3.2.1 提供 认证 器 的 服务 必须 是 私有 的 (必需 ) 


前 提 是 ， 提 供认 证 器 的 服务 由 账户 管理 器 使 用 ， 并 且 不 应 该 被 其 他 应 用 访问 。 
此 ， 通 过 使 其 成 为 私有 服务 ， 它 可 以 避免 其 他 应 用 的 访问 。 此 外 ， 账 户 管理 器 以 系 
统 权 限 运 行 ， 所 以 即使 是 私有 服务 ， 账 户 管理 器 也 可 以 访问 。 


5.3.2.2 登录 界面 活动 必须 由 认证 器 应 用 实现 (必需 ) 


用 于 添加 新 帐户 并 获取 认证 令 牌 的 登录 界面 ， 应 由 认证 应 用 实现 。 自己 的 登录 界面 
不 应 该 在 用 户 应 用 一 端 准备 。 正如 本 文 开 头 提 到 的 ，【 账 户 管理 器 的 优势 在 于 ， 极 
其 敏感 的 信息 /密码 不 一 定 要 由 应 用 处 理 】， 如 果 在 用 户 应 用 一 端 准备 登录 界面 ， 则 
密码 由 用 户 应 用 处 理 ， 其 设计 越过 了 账户 管理 器 的 策略 。 


通过 由 身份 验证 器 应 用 准备 登录 界面 ， 操 作 登 录 界 面 的 人 仅 限 于 设备 用 户 。 这 意味 
着 ， 和 恶意 应 用 无 法 通过 尝试 直接 登录 ， 或 创建 帐户 来 攻击 帐户 。 


5.3.2.3 登录 界面 活动 必须 是 公共 活动 ， 并 假设 其 他 应 用 的 攻击 访 
问 (必需 ) 


登录 界面 活动 是 由 用 户 应 用 加 载 的 系统 。 为 了 即使 在 用 户 应 用 和 身份 验证 器 应 用 的 
签名 密 钥 不 同时 ， 也 能 展示 登录 界面 ， 登 录 界面 活动 应 该 实现 为 公共 活动 。 登录 界 
面 活动 是 公共 活动 ， 意 味 着 有 可 能 会 被 恶意 应 用 启动 。 永 远 不 要 相信 任何 输入 数 
据 。 因 此 ， 有 必要 采取 “3.2 小 心 并 安全 处 理 输入 数据 "中 提 到 的 对 策 。 


5.3.2.4 使 用 显示 意图 提供 kEY INTENT ， 带 有 登录 界面 活动 的 指 
E ER (3€) 


当 认 证 器 需要 打开 登录 界面 活动 时 ， 局 动 登录 界面 活动 的 意图 ， 会 在 返回 给 账户 管 
理 器 的 Bundle 中 ， 由 KEY_INTENT 提供 。 所 提供 的 意图 应 该 是 指定 登录 界面 活动 
的 类 名 的 显 式 意 图 。 在 使 用 隐 示 意图 ， 它 指定 动作 名 称 的 情况 下 ， 有 可 能 并 不 启动 
由 认证 器 应 用 本 身 准 备 的 登录 界面 活动 ， 而 是 其 他 应 用 准备 的 活动 。 当 恶意 应 用 准 
备 了 和 常规 一 样 的 登录 界面 时 ， 用 户 可 能 会 在 伪造 的 登录 界面 中 输入 密码 。 


5.3.2.5 敏感 信息 (如 帐户 信息 和 认证 令 牌 ) 不 得 输出 到 日 志 ( 必 
E 


访问 在 线 服务 的 应 用 有 时 会 遇 到 麻烦 ， 例 如 无 法 成 功 访问 在 线 服 务 。 访 问 失 败 的 原 
因 各 不 相同 ， 如 网 络 环境 管理 不 善 ， 通 信 协 议 实现 失败 ， 权 限 不 足 ， 认 证 错误 等 。 
一 个 常见 的 实现 方式 是 ， 程 序 输出 详细 信息 给 日 志 ， 以 便 开 发 人 员 可 以 稍 后 分 析 问 
题 的 原因 。 


敏感 信息 (如 密码 或 认证 令 牌 ) 不 应 输出 到 日 志 中 。 日志 信息 可 以 从 其 他 应 用 读 
取 ， 因 此 可 能 成 为 信息 泄露 的 原因 。 此 外 ， 如 果 帐 户 名 称 的 泄漏 可 能 导致 损失 ， 则 
不 应 将 帐户 名 称 输出 到 日 志 中 。 


5.3.2.6 密码 不 应 该 保存 在 账户 管理 器 中 (推荐 ) 


两 个 认证 信息 ， 密 码 和 认证 令 牌 可 以 保存 在 一 个 账户 中 ， 来 注册 账户 管理 器 。 这 
言 息 将 以 明文 形式 ( 即 不 加 密 ) 存储 在 以 下 目录 下 的 accounts.db 中 。 


me 


e Android 4.1 及 之 前 : /data/system/accounts.db 
e Android 4.2 及 之 
后 : /data/system/0/accounts.db or /data/system/«UserId»/accounts 


要 阅读 accounts.db HAR? FL root 权限 或 系统 权限 ， 并 且 无 法 从 市 场 上 的 
Android 设备 中 读 取 它 。 在 Android 操作 系统 中 存在 漏洞 的 情况 下 ， 攻 击 者 可 以 获 
得 root 权限 或 系统 权限 ， 保 存在 accounts.db 中 的 认证 信息 将 处 在 风险 边缘 。 


本 文中 介绍 的 认证 应 用 旨 在 将 认证 令 牌 保存 在 账户 管理 器 中 ， 而 不 保存 用 户 密 码 。 
在 一 定时 间 内 连续 访问 在 线 服 务 时 ， 通 常 认 证 令 牌 的 有 效 期 限 会 延长 ， 因 此 在 大 多 
数 情 况 下 ， 不 保存 密码 的 设计 就 足够 了 。 


通常 ， 认 证 令 牌 的 有 效 期 限 比 密码 短 ， 并 且 它 的 特点 是 可 以 随时 禁用 。 如 果 认 证 令 
牌 泄漏 ， 则 可 以 将 其 禁用 ， 因 此 与 密码 相 比 ， 认 证 令 牌 比较 安全 。 在 认证 令 牌 被 禁 
用 的 情况 下 ， 用 户 可 以 再 次 输入 密码 以 获得 新 的 认证 令 牌 。 


如 果 在 密码 泄漏 时 禁用 密码 ， 用 户 将 无 法 再 使 用 在 线 服 务 。 在 这 种 情况 下 ， 它 需要 
呼叫 中 心 支持 等 ， 这 将 花费 巨大 的 成 本 。 因此 ， 最 好 从 设计 中 避免 在 账户 管理 器 中 
保存 密码 。 在 不 能 避免 保存 密码 的 设计 的 情况 下 ， 应 该 采取 高 级 别 的 逆向 工程 对 

策 ， 如 加 密 密 码 和 混淆 加 密 密 钥 。 


5.3.2.7 HTTPS 应 该 用 于 认证 器 和 在 线 服务 之 间 的 通信 (必需 ) 


密码 或 认证 令 牌 就 是 所 谓 的 认证 信息 ， 如 果 被 第 三 方 接管 ， 第 三 方 可 以 伪装 成 有 效 
用 户 。 由 于 认证 器 使 用 在 线 服务 来 发 送 /接收 这 些 类 型 的 认证 信息 ， 因 此 应 使 用 可 
靠 的 加 密 通 信 方 法 ， 如 HTTPS © 


5.3.2.8 应 该 在 验证 认证 器 是 否 正常 之 后 ， 执 行 帐户 流程 ( 必需) 
如 果 有 多 个 认证 器 在 设备 中 定义 了 相同 的 帐户 类 型 ， 则 先前 安装 的 认证 器 将 生效 。 
所 以 ， 安 装 自己 的 认证 器 之 后 ， 它 不 会 被 使 用 。 

如 果 之 前 安装 的 认证 器 是 恶意 软件 的 伪装 ， 则 用 户 输 入 的 帐户 信息 可 能 被 恶意 软件 
接管 。 在 执行 帐户 操作 之 前 ， 用 户 应 用 应 验证 执行 帐户 操作 的 帐户 类 型 ， 不 管 是 否 
分 配 了 常规 认证 器 。 

可 以 通过 检查 认证 器 的 包 的 证 书 散 列 值 ， 是否 匹配 预先 确认 的 有 效 证 书 散 列 值 ， 来 


验证 分 配给 账户 类 型 的 认证 器 是 否 是 正常 的 。 如 果 发 现 证 书 哈 希 值 不 匹配 ， 则 最 好 
提示 用 户 邱 载 程 序 包 ， 它 包含 分 配给 该 帐户 类 型 的 意外 的 认证 验证 器 。 


5.3.2 规则 书 
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5.3.3 高 级 话题 


5.3.3.1 账户 管理 和 权限 的 使 用 
要 使 用 AccountManager 类 的 每 种 方法 ， 都 需要 在 应 用 


的 AndroidManifest.xml 中 分 别 声明 使 用 相应 的 权限 。 表 5.3-1 显示 了 权限 和 方 
法 的 对 应 关系 。 


È 5.3-1 账户 管理 器 的 函数 以 及 权限 
账户 管理 器 提供 的 函数 


权限 方法 


AUTHENTICATE ACCOUNTS (只 有 由 认证 
器 的 相同 密 钥 签名 的 软件 包 才 可 以 使 用 。) 


getPassword() 


getUserData() 


addAccountExplicitly() 


peekAuthToken( ) 


setAuthToken( ) 


GET_ACCOUNTS 


setPassword() 


setUserData() 


renameAccount ( ) 


getAccounts() 


getAccountsByType( ) 


getAccountsByTypeAndFeature 


MANAGE_ACCOUNTS 


addOnAccountsUpdatedListene 


hasFeatures() 


getAuthTokenByFeatures( ) 


addAccount( ) 


removeAccount ( ) 


removeAccount ( ) 


clearPassword() 


updateCredentials() 


editProperties() 


confirmCredentials() 


USE CREDENTIALS getAuthToken() 


blockingGetAuthToken() 


MANAGE ACCOUNTS 或 USE CREDENTIALS invalidateAuthToken() 


在 使 用 需要 AUTHENTICATE ACCOUNTS 权限 的 方法 组 的 情况 下 ， 存 在 软件 包 的 签名 
密 钥 以 及 权限 相关 的 限制 。 具 体 来 说 ， 提 供认 证 器 的 包 的 签名 密 钥 ， 和 使 用 方法 的 
应 用 的 包 的 签名 密 钥 应 该 是 相同 的 。 因此， 在 分 发 使 用 方法 组 的 应 用 时 ， 除 了 认证 
器 之 外 ， 必 须 使 用 AUTHENTICATE_ACCOUNTS 权限 ， 并 且 应 使 用 认证 器 的 相同 密 铀 
进行 签名 。 

在 Android Studio 的 开发 阶段 ， 由 于 固定 的 调试 密 钥 库 可 能 会 被 某 些 Android 
Studio 项 目 共享 ， 开 发 人 员 可 能 只 考虑 权限 而 不 考虑 签名 ， 来 实现 和 测试 帐户 管理 
器 。 特别 是 ， 对 于 对 每 个 应 用 使 用 不 同 签名 密 钥 的 开发 人 员 来 说 ， 因 为 这 种 限制 ， 
在 选择 用 于 应 用 的 密 钥 时 要 非常 小 心 。 此外， 由 于 AccountManager 获得 的 数据 
包含 敏感 信息 ， 因 此 需要 小 心 处 理 ， 来 减少 泄漏 或 未 授权 使 用 的 风险 。 


5.3.3.2 在 Android 4.0.x 中 ， 用 户 应 用 和 认证 器 应 用 的 签名 密 铀 
不 同时 发 生 的 异常 


认证 令 牌 获取 功能 是 由 开发 者 密 钥 签发 的 用 户 应 用 所 需 的 ， 它 不 同 于 认证 器 应 用 的 
签名 密 钥 。 通 过 显示 认证 令 牌 许可 证 屏幕 

( GrantCredentialsPermissionActivity ) ， AccountManager 验证 用 户 是 
否 授予 认证 令 牌 的 使 用 权 。 但 是 Android 4.0.x 的 Android 框架 中 存在 一 个 错误 ， 
只 要 AccountManager 打开 此 屏幕 ， 就 会 发 生 异 常 并 且 应 用 被 强制 关闭 (A 
5.3-3) 。 错误 的 详细 信息 ， 请 参阅 
https://code.google.com/p/android/issues/detail?id=23421 ° 这 个 bug 在 Android 
4.1.x 及 更 高 版 本 中 无 法 找到 。 


Android 4.0.x Android 4.1.x 


S Access request 


The following one or more apps 
request permission to access your 
account, now and in the future. 


e AuthenticatorUser 


Unfortunately, Android System 


has stopped. 
Do you want to allow this request? 





Figure 5.3-3 When displaying Android standard authentication token license screen. 


5.4 通过 HTTPS 的 通信 


大 多 数 第 能 于 机 应 用 者 与 互联 网 上 的 Web 服务 器 通信 。 作为 通 ASI Z ik RINE 
ee AERE D iE A > HTTPS 通信 更 为 
可 取 。 iit» Google 3 Facebook 等 主要 Web 服务 已 经 开始 使 用 HTTPS 作为 默 


TER ° 


heeds JE VA3& >» Android 应 用 中 HTTPS 通信 实现 的 许多 缺陷 已 被 指出 。 这 些 缺 
能 用 于 访问 由 服务 器 证 书 操 作 的 测试 Web 服务 器 ， 这 些 服 务 器 证 书 不 是 由 可 
E nma 而 是 由 私人 (以 下 称 为 私有 证 书 ) 颁发 。 


本 节 将 解释 HTTP 和 HTTPS 通信 方法 ， 并 介绍 使 用 HTTPS 安全 地 访问 由 私有 证 
书 操作 的 Web 服务 器 的 方法 。 


5.4.1 示例 代码 


你 可 以 通过 下 面 的 图 表 (图 5.4-1) 找 出 你 应 该 实现 的 HTTP /HTTPS 通信 类 型 。 






Send/Receive 
the sensitive information? 







Authenticate the server 
to connect to? 





Use server certificate 
that is issued by 
the public CA? 


Communicate by HTTP Communicate by HTTPS Communicate by HTTPS 
with private certificate 


Figure 5.4-1 Flow Figure to select sample code of HTTP/HTTPS 


当 发 送 或 接收 敏感 信息 时 ， 将 使 用 HTTPS 通信 ， 因 为 其 通信 通道 使 用 SSL/ TLS 
加 密 。 以 下 敏感 信息 需要 HTTPS 通信 。 

e Web 服务 的 登录 ID /密码 。 

e 保持 认证 状态 的 信息 (会 话 ID， 令 牌 ，Cookie €) 

e 取决 于 Web 服务 的 重要 /机 密 信 息 (个 人 信息 ， 信 用 卡 信息 等 ) 
具有 网 络 通 信 的 智能 手机 应 用 是 “系统 "和 Web 服务 器 的 一 部 分 。 而 且 你 必须 根据 
整个 “系统 ”的 安全 设计 和 编码 ， 为 每 个 通信 选择 HTTP X HTTPS °- X 5.4-1 用 于 
比较 HTTP 和 HTTPS 。 表 5.4-2 是 示例 代码 的 差异 。 


表 5.4-1 HTTP 与 HTTPS 通信 方式 的 比较 





HTTP HTTPS 


特性 URL http:// 开头 https:// 开头 
加 密 内 容 否 是 
内 容 的 自 改 检测 不 可 能 可 能 
对 服务 器 进行 认证 不 可 能 可 能 
损害 的 风险 “由 攻击 者 读 取 内 容 高 4B 
由 攻击 者 修改 内 容 高 AK 
应 用 访问 了 伪造 的 服务 器 7 D: 


表 5.4-2 HTTP/HTTPS 通信 示例 代码 的 解释 


收发 
示例 代码 通信 敏感 服务 器 证 书 
& B 
: "Ec 
通过 HTTP 的 通信 HTTP 23 ] 
$i. 43 Z RT 3 可 信 第 三 方 机 构 签 
通过 HTTPS 的 通 HTTPS Ok 服务 器 证 书 由 可 人 和信 第 三 方 机 构 签 


ES 
Qu 


署 ， 例 如 Cybertrust 和 VeriSign 


通过 HTTPS 使 用 私有 证 书 (经 常 能 在 内 部 服务 器 或 
私有 证 书 的 通信 HTTTPS OK | 测试 服务 器 上 看 到 的 操作 


Android 支持 java.net.HttpURLConnection / 
javax.net.ssl.HttpsURLConnection 作为 HTTP/HTTPS 通信 API » 在 


Android 6.0 (API Level 23) 版 本 中 ， 另 一 个 HTTP € P 35/& Apache HttpClient 
的 支持 已 被 删除 。 


5.4.1.1 通过 HTTP 进行 通信 


它 基 于 两 个 前 提 ， 即 通过 HTTP 通信 发 送 /接收 的 所 有 内 容 都 可 能 被 攻击 者 嗅 探 和 
鞭 改 ， 并 且 你 的 目标 服务 器 可 能 被 攻击 者 准备 的 假 服务 器 蔡 换 。 只 有 在 没有 造成 损 
害 或 损害 在 允许 范围 内 的 情况 下 ， 才 能 使 用 HTTP 通信 ， 即 使 在 本 地 也 是 如 此 。 

如 果 应 用 无 法 接受 该 前 提 ， 请 参阅 “5.4.1.2 通过 HTTPS 进行 通信 "和 “5.4.1.3 通过 
HTTPS 使 用 私有 证 书 进行 通信 ”。 


以 下 示例 代码 显示 了 一 个 应 用 ， 它 在 Web 服务 器 上 执行 图 像 搜索 ， 获 取 结 果 图 像 
并 显示 它 。 与 服务 器 的 HTTP 通信 在 搜索 时 执行 两 次 。 第 一 次 通信 是 搜索 图 像 数 
据 ， 第 二 次 是 获取 它 。 它 使 用 AsyncTask 创建 用 于 通信 过 程 的 工作 线程 ， 来 避免 
在 UI 线程 上 执行 通信 。 与 服务 器 的 通信 中 发 送 /接收 的 内 容 ， 在 这 里 不 被 认为 是 敏 
感 的 〈《 例 如， 用 于 搜索 的 字符 串 ， 图 像 的 URL 或 图 像 数据 ) 。 因 此 ， 接 收 到 的 数 
据 ， 如 图 像 的 URL 和 图 像 数 据 ， 可 能 由 攻击 者 提供 。 为 了 简单 地 显示 示例 代码 ， 


在 示例 代码 中 没有 采取 任何 对 策 ， 通 过 将 接收 到 的 攻击 数据 视 为 可 容忍 的 。 此 外 ， 
在 JSON 解析 或 显示 图 像 数 据 期 间 ， 可 能 出 现 异 常 的 处 理 将 被 忽略 。 根 据 应 用 规 
范 ， 有 必要 正确 处 理 例外 情况 。 


要 点 : 


. 发 送 的 数据 中 不 得 包含 敏感 信息 。 
假设 收 到 的 数据 可 能 来 自 攻击 者 。 


HttplmageSearch.java 


package org.jssec.android.https.imagesearch; 


import android.os.AsyncTask; 

import org.json.JSONException; 

import org.json.JSONObject; 

import java.io.BufferedInputStream; 
import java.io.ByteArrayOutputStream; 
import java.io.IOException; 

import java.net.HttpURLConnection; 
import java.net.URL; 


public abstract class HttpImageSearch extends AsyncTask<String, 
Void, Object» ( 


QOverride 
protected Object doInBackground(String... params) { 
byte[] responseArray; 
// ----------------- 


// Communication ist time: Execute image search 
// ----------------- 


// *** POINT 1 *** Sensitive information must not be con 
tained in send data. 
// Send image search character string 
StringBuilder s - new StringBuilder(); 
for (String param : params){ 
s.append(param); 
s.append('-*'); 


} 

s.deleteCharAt(s.length() - 1); 

String search url - "http://ajax.googleapis.com/ajax/ser 
vices/search/images?v-1.0&q-" + 

s.toString(); 

responseArray = getByteArray(search url); 

if (responseArray -- null) ( 

return null; 
} 


// *** POINT 2 *** Suppose that received data may be sen 
t from attackers. 
// This is sample, so omit the process in case of the se 


arching result is the data from an attacker. 
// This is sample, so omit the exception process in case 
of JSON purse. 
String image url; 
try { 
String json = new String(responseArray); 
image url = new JSONObject(json).getJSONObject("resp 


onseData") 
.getJSONArray("results").getJSONObject(0).getStr 
ing("url"); 
} catch(JSONException e) { 
return e; 
} 
ee 


p M I I mane ne: 


// *** POINT 1 *** Sensitive information must not be con 
tained in send data. 

if (image url !- null ) ( 

responseArray - getByteArray(image url); 

if (responseArray -- null) ( 

return null; 

} 

} 


// *** POINT 2 *** Suppose that received data may be sen 
t from attackers. 
return responseArray; 


j 


private byte[] getByteArray(String strUrl) ( 
byte[] buff = new byte[1024]; 
byte[] result - null; 
HttpURLConnection response; 
BufferedInputStream inputStream - null; 
ByteArrayOutputStream responseArray - null; 
int length; 
try { 
URL url = new URL(strUrl); 
response = (HttpURLConnection) url.openConnection(); 
response.setRequestMethod( 'GET"); 
response.connect(); 
checkResponse(response); 
inputStream - new BufferedInputStream(response.getIn 
putStream()); 
responseArray = new ByteArrayOutputStream(); 
while ((length = inputStream.read(buff)) != -1) { 
if (length > 0) { 
responseArray.write(buff, 9, length); 
} 
} 


result = responseArray.toByteArray(); 


} catch (IOException e) { 
e.printStackTrace(); 
} finally t 
if (inputStream != null) ( 
try { 
inputStream.close(); 
) catch (IOException e) ( 
// This is sample, so omit the exception pro 


cess 
j 
} 
if (responseArray != null) { 
try { 
responseArray.close(); 
} catch (IOException e) { 
// This is sample, so omit the exception pro 
cess 
} 
} 
} 
return result; 
} 


private void checkResponse(HttpURLConnection response) throws 
IOException { 
int statusCode = response.getResponseCode(); 
if (HttpURLConnection.HTTP_OK != statusCode) { 
throw new IOException("HttpStatus: " + statusCode); 


} 


BJE E 


ImageSearchActivity.java 


package org.jssec.android.https.imagesearch; 


import android.app.Activity; 

import android.graphics.Bitmap; 

import android.graphics.BitmapFactory; 
import android.os.AsyncTask; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.EditText; 

import android.widget.ImageView; 
import android.widget.TextView; 


public class ImageSearchActivity extends Activity { 


private EditText mQueryBox; 
private TextView mMsgBox; 


private ImageView mImgBox; 
private AsyncTask<String, Void, Object> mAsyncTask ; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
mQueryBox - (EditText)findViewById(R.id.querybox); 


mMsgBox - (TextView)findViewById(R.id.msgbox); 
mlImgBox = (ImageView)findViewById(R.id.imageview); 
} 
@Override 


protected void onPause() ( 
// After this, Activity may be deleted, so cancel the as 
ynchronization process in advance. 
if (mAsyncTask !- null) mAsyncTask.cancel(true); 
super.onPause(); 


j 


public void onHttpSearchClick(View view) ( 
String query - mQueryBox.getText().toString(); 
mMsgBox.setText("HTTP:" + query); 
mImgBox.setImageBitmap(null); 
// Cancel, since the last asynchronous process might not 
have been finished yet. 
if (mAsyncTask != null) mAsyncTask.cancel(true); 
// Since cannot communicate by UI thread, communicate by 
worker thread by AsynchTask. 
mAsyncTask = new HttpImageSearch() { 


QOverride 
protected void onPostExecute(Object result) 1 
// Process the communication result by UI thread. 


if (result -- null) ( 
mMsgBox.append("¥nException occursXn"); 
) else if (result instanceof Exception) { 
Exception e - (Exception)result; 
mMsgBox.append("¥nException occurs¥n" + e.to 
String()); 
} else { 
// Exception process when image display is o 
mitted here, since it's sample. 
byte[] data = (byte[])result; 
Bitmap bmp - BitmapFactory.decodeByteArray(d 
ata, 0, data.length); 
mImgBox.setiImageBitmap (bmp); 
} 
} 


}.execute(query); 
// pass search character string and start asynchronous p 
rocess 


} 


public void onHttpsSearchClick(View view) { 
String query = mQueryBox.getText().toString(); 
mMsgBox.setText("HTTPS:" + query); 
mImgBox.setImageBitmap(null); 
// Cancel, since the last asynchronous process might not 
have been finished yet. 
if (mAsyncTask != null) mAsyncTask.cancel(true); 
// Since cannot communicate by UI thread, communicate by 
worker thread by AsynchTask. 
mAsyncTask = new HttpsImageSearch() { 
@Override 
protected void onPostExecute(Object result) { 
// Process the communication result by UI thread. 


if (result instanceof Exception) { 
Exception e = (Exception)result; 
mMsgBox.append("¥nException occurs¥n" + e.to 
String()); 
} else { 
byte[] data = (byte[])result; 
Bitmap bmp = BitmapFactory.decodeByteArray(d 
ata, 9, data.length); 
mImgBox.setImageBitmap(bmp); 
} 


}.execute(query); 
// pass search character string and start asynchronous p 
rocess 


} 


E O O M 


AndroidManifest.xml 


NO 


<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
oid" 

package-"org.jssec.android.https.imagesearch" 

android: versionCode="1" 

android: versionName="1.0"> 

«uses-permission android:name="android.permission. INTERNET"/> 


<application 
android: icon="@drawable/ic_launcher" 
android:allowBackup="false" 
android: label="@string/app_name" > 
<activity 
android: name="".ImageSearchActivity" 
android: label="@string/app_name" 
android: theme="@android:style/Theme.Light" 
android: exported="true" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 


>= 
5.4.1.2 使 用 HTTPS 进行 通信 
4 


在 HTTPS 通信 中 ， 检 查 服务 器 是 否 可 信 ， 以 及 传输 的 数据 是 否 加 密 。 为 了 验证 服 
务 器 ，Android HTTPS 库 验 证 “服务 器 证 书 ”， 它 在 HTTPS 事务 的 握手 阶段 从 服务 
器 传输 ， 其 要 点 如 下 : 


e 服务 器 证 书 由 可 信 的 第 三 方 证 书 机 构 签 署 

e 服务 器 证 书 的 期 限 和 其 他 属性 有 效 

e 服务 器 的 主机 名 匹配 服务 器 证 书 的 主题 字段 中 的 CN (通用 名 称 ) 或 SAN (È 
题 备用 名 称 ) 


如 果 上 述 验 证 失败 ， 则 会 引发 SSLException (服务 器 证 书 验 证 异常 ) o 这 可 能 
意味 着 中 间 人 攻击 或 服务 器 证 书 缺 陷 。 你 的 应 用 必须 根据 应 用 规范 ， 以 适当 的 顺序 


处 理 异常 。 


下 一 个 示例 代码 用 于 HTTPS 通信 ， 它 使 用 可 信 的 第 三 方 证 书 机 构 颁发 的 服务 器 证 
书 连接 到 Web 服务 器 9 对 于 使 用 私有 服务 器 证 书 的 HTTPS 通 = ; 请 参阅 “5.4.1.3 
通过 HTTPS 使 用 私有 证 书 进行 通信 ”。 


以 下 示例 代码 展示 了 一 个 应 用 ， 它 在 Web 服务 器 上 执行 图 像 搜索 ， 获 取 结 果 图 像 

并 显示 它 。 与 服务 器 的 HTTPS 通信 在 搜索 时 执行 两 次 。 第 一 次 通信 是 搜索 图 像 数 
据 ， 第 二 次 是 获取 它 。 CM AsyncTask 创建 用 于 通信 过 程 的 工作 线程 ， 来 避免 
在 UI 线程 上 执行 通信 。 与 服务 器 的 通信 中 发 送 /接收 的 所 有 内 容 ， 在 这 里 被 认为 是 


敏感 的 【例如 ， 用 于 搜索 的 字符 串 ， 图 像 的 URL 或 图 像 数 据 ) 。 为 了 简单 地 显示 
示例 代码 ， 不 会 执行 针对 SSLException 的 特殊 处 理 。 根据 应 用 规范 ， 有 必要 正 
确 处 理 异 常 。 另 外， 下 面 的 示例 代码 允许 使 用 SSLv3 进行 通信 。 通常 ， 我 们 建议 
配置 远程 服务 器 上 的 设置 来 禁用 SSLv3， 以 避免 针对 SSLv3 中 的 漏洞 ( 称 为 
POODLE) 的 攻击 。 


要 点 : 
1. URI https:// 开头 。 
. 发 送 数据 中 可 能 包含 敏感 信息 。 
.尽管 数据 是 从 通过 HTTPS 连接 的 服务 器 发 送 的 ， 但 要 小 心 并 安全 地 处 理 收 到 
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的 数据 。 
4. SSLException 应 该 在 应 用 中 以 适当 的 顺序 处 理 。 


HttpslmageSearch.java 


package org.jssec.android.https.imagesearch; 


import org.json.JSONException; 

import org.json.JSONObject; 

import android.os.AsyncTask; 

import java.io.BufferedInputStream; 
import java.io.ByteArrayOutputStream; 
import java.io.IOException; 

import java.net.HttpURLConnection; 
import java.net.URL; 


public abstract class HttpsImageSearch extends AsyncTask<String, 
Void, Object» ( 


QOverride 

protected Object doInBackground(String... params) { 
byte[] responseArray; 
YY 


// Communication ist time : Execute image search 
//_----------------------------------------------------- 


M POINT IE URES tan eS WEEN ANEEDS 77 5 
// *** POINT 2 *** Sensitive information may be containe 
d in send data. 
StringBuilder s = new StringBuilder (); 
for (String param : params){ 
s.append(param); 
s.append('+'); 


} 

s.deleteCharAt(s.length() - 1); 

String search_url = "https://ajax.googleapis.com/ajax/se 
rvices/search/images?v-1.0&q-" + 

s.toString(); 

responseArray = getByteArray(search_url); 

if (responseArray == null) ( 


return null; 
} 
// *** POINT 3 *** Handle the received data carefully an 
d securely, 
// even though the data was sent from the server connect 
ed by HTTPS. 
// Omitted, since this is a sample. Please refer to "3.2 
Handling Input Data Carefully and Securely." 
String image url; 
try { 
String json - new String(responseArray); 
image url - new JSONObject(json).getJSONObject("resp 


onseData") 
.getJSONArray("results").getJSONObject(0).getStr 
ing("ur1l"); 
} catch(JSONException e) { 
return e; 
J 
//_----------------------------------------------------- 


// Communication 2nd time : Get image 
// _----------------------------------------------------- 


Ky SES POINT i>?" URD Starts we se 
// *** POINT 2 *** Sensitive information may be containe 
d in send data. 

if (image url != null ) ( 

responseArray - getByteArray(image url); 

if (responseArray -- null) ( 

return null; 
} 


} 


return responseArray; 


} 


private byte[] getByteArray(String strUrl) { 
byte[] buff = new byte[1024]; 
byte[] result = null; 
HttpURLConnection response; 
BufferedInputStream inputStream = null; 
ByteArrayOutputStream responseArray = null; 
int length; 
try { 
URL url = new URL(strUrl); 
response = (HttpURLConnection) url.openConnection(); 
response.setRequestMethod( 'GET"); 
response.connect(); 
checkResponse(response); 
inputStream - new BufferedInputStream(response.getIn 
putStream()); 
responseArray = new ByteArrayOutputStream(); 
while ((length = inputStream.read(buff)) != -1) { 
if (length > 0) { 


responseArray.write(buff, 0, length); 


responseArray.toByteArray(); 


result 


if (inputStream !- null) ( 


j 
inputStream.close(); 
, So omit the exception pr 


} 
} catch (IOException e) { 

e.printStackTrace(); 
+ finally { 

try t 
) catch (IOException e) ( 
// This is sample 
cess 
} 
} 

if (responseArray != null) { 

try { 

responseArray.close(); 
) catch (IOException e) ( 

// This is sample, so omit the exception pro 


} 

/ 
private void checkResponse(HttpURLConnection response) throws 
" + statusCode); 


return result 
} 
IOException { 
int statusCode = response.getResponseCode( ); 
if (HttpURLConnection.HTTP OK !- statusCode) ( 
throw new IOException("HttpStatus: 
} 
} 
} 
is] men | 
他 示例 代码 文件 与 “5.4.1.1 通过 HTTP 进行 通信 ?相同 ， 因 此 请 参阅 "5.4.1.1 通过 
Aig” d 
”通过 HTTPS 进行 通信 
其 中 包含 私人 颁发 的 服务 器 证 书 ( 私 
证 书 。 请 参阅 "5.4.3.1 如 何 创建 
cacert.crt 文件 。 它 是 私有 人 证书 


S 进行 
5.4.1.3 使 用 私有 证 书 通 

ee 并 在 Web 服 
A 
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其 
HTTP 
部 分 展示 了 一 个 HTTPS 通信 的 示例 代码 ， 
， 但 不 是 可 信 的 第 三 三 方 机 构 颁发 的 服务 器 
的 资产 中 包 


4i it 4) 
务 器 中 设置 HTTPS 。 示例 程 
的 根 证 书 文件 。 


以 下 示例 代码 展示 了 一 个 应 用 ， 在 Web 服务 器 上 获取 图 像 并 显示 该 图 像 。HTTPS 
用 于 与 服务 器 的 通信 。 它 使 用 AsyncTask 创建 用 于 通信 过 程 的 工作 线程 ， 来 避免 
在 UI 线程 上 执行 通信 。 与 服务 器 的 通信 中 发 送 /接收 的 所 有 内 容 (图 像 的 URL 和 

图 像 数 据 ) 都 被 认为 是 敏感 的 。 为 了 简单 地 显示 示例 代码 ， 不 会 执行 针 

对 SSLException 的 特殊 处 理 。 根据 应 用 规范 ， 有 必要 正确 处 理 异 常 。 


X: 


. 使 用 私人 证 书 机 构 的 根 证 书 来 验证 服务 器 证 书 。 

. URI A https:// 开头 。 

. 发 送 数据 中 可 能 包含 敏感 信息 。 

.接收 的 数据 可 以 像 服务 器 一 样 被 信任 。 
SSLException 应 该 在 应 用 中 以 适当 的 顺序 处 理 。 
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PrivateCertificathettpsGet.java 


package org.jssec.android.https.privatecertificate; 


import java.io.BufferedInputStream; 
import java.io.ByteArrayOutputStream; 
import java.io. IOException; 

import java.net.HttpURLConnection; 
import java.net.URL; 

import java.security.KeyStore; 

import java.security.SecureRandom; 
import javax.net.ssl.HostnameVerifier; 
import javax.net.ssl.HttpsURLConnection; 
import javax.net.ssl.SSLContext; 

import javax.net.ssl.SSLException; 
import javax.net.ssl.SSLSession; 

import javax.net.ssl.TrustManagerFactory; 
import android.content.Context; 

import android.os.AsyncTask; 


public abstract class PrivateCertificateHttpsGet extends AsyncTa 
sk<String, Void, Object» { 


private Context mContext; 


public PrivateCertificateHttpsGet(Context context) ( 
mContext - context; 
j 


QOverride 

protected Object doInBackground(String... params) { 
TrustManagerFactory trustManager; 
BufferedInputStream inputStream - null; 
ByteArrayOutputStream responseArray - null; 
byte[] buff = new byte[1024]; 
int length; 
try { 

URL url = new URL(params[0]); 


// *** POINT 1 *** Verify a server certificate with 
the root certificate of a private certificate authority. 
// Set keystore which includes only private certific 
ate that is stored in assets, to client. 
KeyStore ks = KeyStoreUtil.getEmptyKeyStore(); 
KeyStoreUtil.loadX509Certificate(ks, 
mContext.getResources().getAssets().open("cacert 
SCIES) 5 
fo PES POINT 272" URT Starks with hWbtps:77. 
// *** POINT 3 *** Sensitive information may be cont 
ained in send data. 
trustManager = TrustManagerFactory.getInstance(Trust 
ManagerFactory.getDefaultAlgorithm()); 
trustManager.init(ks); 
SSLContext sslCon = SSLContext.getInstance("TLS"); 
sslCon.init(null, trustManager.getTrustManagers(), n 
ew SecureRandom()); 
HttpURLConnection con - (HttpURLConnection)url.openC 
onnection(); 
HttpsURLConnection response - (HttpsURLConnection)co 
n; 
response.setDefaultSSLSocketFactory(sslCon.getSocket 
Factory()); 
response.setSSLSocketFactory(sslCon.getSocketFactory 
0); 
checkResponse(response); 
// *** POINT 4 *** Received data can be trusted as s 
ame as the server. 
inputStream - new BufferedInputStream(response.getIn 
putStream()); 
responseArray = new ByteArrayOutputStream(); 
while ((length = inputStream.read(buff)) != -1) { 
if (length > 0) { 
responseArray.write(buff, 9, length); 
} 
} 


return responseArray.toByteArray(); 
} catch(SSLException e) { 
// *** POINT 5 *** SSLException should be handled wi 
th an appropriate sequence in an application. 
// Exception process is omitted here since it's samp 


le. 
return e; 
} catch(Exception e) { 
return e; 
+ finally t 
if (inputStream != null) ( 
try { 
inputStream.close(); 
) catch (Exception e) { 
// This is sample, so omit the exception pro 
cess 


if (responseArray != null) ( 
t 
responseArray.close(); 
) catch (Exception e) { 
// This is sample, so omit the exception pro 
cess 


private void checkResponse(HttpURLConnection response) throws 
IOException { 
int statusCode = response.getResponseCode(); 
if (HttpURLConnection.HTTP OK !- statusCode) ( 
throw new IOException("HttpStatus: " + statusCode); 
} 
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KeyStoreUtil.java 


package org.jssec.android.https.privatecertificate; 


import java.io.IOException; 

import java.io.InputStream; 

import java.security.KeyStore; 

import java.security.KeyStoreException; 

import java.security.NoSuchAlgorithmException; 
import java.security.cert.Certificate; 

import java.security.cert.CertificateException; 
import java.security.cert.CertificateFactory; 
import java.security.cert.X509Certificate; 
import java.util.Enumeration; 


public class KeyStoreUtil { 
public static KeyStore getEmptyKeyStore() throws KeyStoreExc 


eption, 
NoSuchAlgorithmException, CertificateException, IOExcept 


ion { 
KeyStore ks = KeyStore.getInstance("BKS"); 
ks.load(null); 
return ks; 
} 


public static void loadAndroidCAStore(KeyStore ks) 
throws KeyStoreException, NoSuchAlgorithmException, 
CertificateException, IOException f 


KeyStore aks = KeyStore.getInstance("AndroidCAStore"); 
aks.load(null); 
Enumeration<String> aliases = aks.aliases(); 
while (aliases.hasMoreElements()) { 
String alias - aliases.nextElement(); 
Certificate cert - aks.getCertificate(alias); 
ks.setCertificateEntry(alias, cert); 


} 


public static void loadX509Certificate(KeyStore ks, InputStr 
eam is) 
throws CertificateException, KeyStoreException { 
Cry { 
CertificateFactory factory - CertificateFactory.getI 
nstance("X509"); 
X509Certificate x509 = (X509Certificate)factory.gene 
rateCertificate(is); 
String alias = x509.getSubjectDN().getName(); 
ks.setCertificateEntry(alias, x509); 
} finally { 
try { is.close(); } catch (IOException e) { /* This 
is sample, so omit the exception process 
p } 
} 


PrivateCertificateHttpsActivity.java 


package org.jssec.android.https.privatecertificate; 


import android.app.Activity; 

import android.graphics.Bitmap; 

import android.graphics.BitmapFactory; 
import android.os.AsyncTask; 

import android.os.Bundle; 

import android.view.View; 

import android.widget.EditText; 

import android.widget.ImageView; 
import android.widget.TextView; 


public class PrivateCertificateHttpsActivity extends Activity 
private EditText mUrlBox; 
private TextView mMsgBox; 
private ImageView mImgBox; 


private AsyncTask«String, Void, Object» mAsyncTask ; 


@Override 


public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 


mUrlBox - (EditText)findViewById(R.id.urlbox); 
mMsgBox - (TextView)findViewById(R.id.msgbox); 
mlImgBox - (ImageView)findViewById(R.id.imageview); 
j 
QOverride 


protected void onPause() { 
// After this, Activity may be discarded, so cancel asyn 
chronous process in advance. 
if (mAsyncTask !- null) mAsyncTask.cancel(true); 
super.onPause(); 


j 


public void onClick(View view) ( 
String url - mUrlBox.getText().toString(); 
mMsgBox.setText(url); 
mImgBox.setImageBitmap(null); 
// Cancel, since the last asynchronous process might hav 
e not been finished yet. 
if (mAsyncTask != null) mAsyncTask.cancel(true); 
// Since cannot communicate through UI thread, communica 
te by worker thread by AsynchTask. 
mAsyncTask - new PrivateCertificateHttpsGet(this) ( 
QOverride 
protected void onPostExecute(Object result) { 
// Process the communication result through UI t 


hread. 
if (result instanceof Exception) { 
Exception e = (Exception)result; 
mMsgBox.append("¥nException occurs¥n" + e.to 
String()); 


} else { 
byte[] data = (byte[])result; 
Bitmap bmp = BitmapFactory.decodeByteArray(d 
ata, 0, data.length); 
mImgBox.setiImageBitmap (bmp); 
j 
} 


}.execute(url); 
// Pass URL and start asynchronization process 


[E |) 


5.4.2 规则 P 


使 用 HTTP/S 通信 时 ， 遵 循 以 下 规则 : 


5.4.2.1 必须 通过 HTTPS 通信 发 送 /接收 敏感 信息 (必需 ) 


在 HTTP 事务 中 ， 发 送 和 接收 的 信息 可 能 被 噢 探 或 稳 改 ， 并 且 连 接 的 服务 器 可 能 被 
伪装 。 敏感 信息 必须 通过 HTTPS i sabe o 


5.4.2.2 必须 小 心 和 安全 地 处 理 通过 HTTP 接收 到 的 数据 (LE) 


HTTP 通信 中 收 到 的 数据 可 能 由 攻击 者 利用 应 用 的 漏洞 产生 。 因此 ， 你 必须 假定 应 
ee ee d m 

jp euh 你 不 应 该 盲目 信任 来 自 HTTPS 服务 器 的 数据 。 由 于 HTTPS 服 
4 务 器 可 能 由 攻击 者 制 js 或 者 收 到 的 数据 可 能 在 HTTPS 服务 器 的 其 他 位 置 制作 。 
请 参阅 “3.2 小 心 和 安全 地 处 理 输入 数据 ”。 


5.4.2.3 ssLException 必须 适当 处 理 ， 例 如 通知 用 户 (必需 ) 


在 HTTPS 通信 中 ， 当 服务 器 证 书 无 效 或 通信 处 于 中 间 人 攻击 下 

时 ， SSLException 会 作为 验证 错误 产生 。 所 以 你 必须 为 SSLException 实现 适 
当 的 异常 处 理 。 通知 用 户 通信 失败 ， 记 录 故 障 等， 可 被 认为 是 异常 处 理 的 典型 实 
现 。 另 一 方面 ， 在 某 些 情况 下 可 能 不 需要 特别 通知 用 户 。 因为 如 何 处 

理 SSLException 取决 于 应 用 规范 和 特性 ， 你 需要 首先 考虑 彻底 后 再 确定 它 。 


如 上 所 述 ， 当 SSLException 产生 时 ， 应 用 可 能 受到 中 间 人 的 攻击 ， 所 以 它 不 能 
实现 为 ， 试 图 通过 例如 HTTP 的 非 安 全 协议 再 次 发 送 /接收 敏感 信息 。 


5.4.2.4 不 要 创建 自 定 义 的 TrustManager (必需 ) 


仅仅 更 改 用 于 验证 服务 器 证 书 的 KeyStore ， 就 足以 通过 HTTPS ， 与 例如 自 签名 
证 书 的 私有 证 书 进行 通信 。 但 是 ， 正 如 在 “5.4.3.3 禁用 证 书 验证 的 危险 代码 "中 所 解 
AE HY AB AE > EE uu TrustManager 实现 ， 与 用 于 这 种 目的 的 示 
例 代 码 一 样 。 通 过 引用 这 些 示例 代码 而 实现 的 应 用 可 能 有 此 漏洞 。 


当 你 需要 通过 HTTPS 与 私有 证 书 进 行 通信 时 ， 请 参阅 5.4.1.3 通过 HTTPS 与 私有 
证 书 进行 通信 "中 的 安全 示例 代码 。 


当然 ， 自 定义 的 TrustManager 可 以 安全 地 实现 ， 但 需要 足够 的 加 密 处 理 和 加 密 
通信 知识 ， 以 免 执 行 存在 漏洞 的 代码 。 所 以 这 个 规则 应 为 (必需 ) 。 


5.4.3 高 级 话题 


5.4.3.1 如 何 创 建 私 有 证 书 并 配置 服务 器 


EKG 中 ， 将 介绍 如 何在 Linux (如 Ubuntu 和 CentOS) 中 创建 私有 证 书 和 配置 服 
务 器 。 私有 证 书 是 指 私 人 签发 的 服务 器 证 书 ， 并 由 Cybertrust 和 VeriSign 等 可 信 
第 三 方 证 书 机构 签 发 的 服务 器 证 书 通知 。 


建 私 有 证 书 机 构 


首先 ， 你 需要 创建 一 私有 证 书 机构 来 颁发 私有 证 书 。 私 有 证 书 机 构 是 指 私有 创建 
证 书 机构 以 及 私有 证 书 。 你 可 以 使 用 单个 私有 证 书 机构 颁 发 多 个 私有 证 书 。 Pp 
私有 证 书 机 构 的 个 人 电脑 应 严格 限制 为 只 能 由 可 信 的 人 访问 。 


为 了 创建 私有 人 证书 机 构 ， 必 须 创 建 两 个 文件 ， 例 如 以 下 shell 脚本 newca.sh 和 设 
置 文件 openssl.cnf ， 然 后 执行 它们 。 在 shell 脚本 中 ， CASTART 和 CAEND 代 
表 证 书 机 构 的 有 效 期 ， CASUBJ 代表 证 书 机 构 的 名 称 。 所 以 这 些 值 需要 根据 你 创 
建 的 证 书 机 构 进 行 更 改 。 在 执行 shell 脚本 时 ， 访 问 证 书 机 构 的 密码 总 共 需 要 3 
次 ， 所 以 你 需要 每 次 都 输入 它 。 


newca.sh -- 创建 证 书 机 构 的 Shell 脚本 


#!/bin/bash 
umask 0077 


CONFIG-openssl.cnf 

CATOP=./CA 

CAKEY-cakey . pem 

CAREQ-careq. pem 

CACERT-cacert.pem 

CAX509-cacert.crt 

CASTART-130101000000Z # 2013/01/01 00:00:00 GMT 
CAEND=230101000000Z # 2023/01/01 00:00:00 GMT 
CASUBJ="/CN=JSSEC Private CA/O-JSSEC/ST-Tokyo/C-JP" 


mkdir -p ${CATOP} 

mkdir -p ${CATOP}/certs 
mkdir -p ${CATOP}/crl 
mkdir -p ${CATOP}/newcerts 
mkdir -p ${CATOP}/private 
touch ${CATOP}/index.txt 


openssl req -new -newkey rsa:2048 -sha256 -subj "${CASUBJ}" X 
-keyout ${CATOP}/private/${CAKEY} -out ${CATOP}/${CAREQ} 
openssl ca -selfsign -md sha256 -create serial -batch X 
-keyfile ${CATOP}/private/${CAKEY} X 
-startdate ${CASTART} -enddate ${CAEND} -extensions v3 ca X 
-in ${CATOP}/${CAREQ} -out ${CATOP}/${CACERT} X 
-config ${CONFIG} 
openssl x509 -in ${CATOP}/${CACERT} -outform DER -out ${CATOP}/$ 
(CAX509) 


openssl.cnf -- 2 个 shell 脚本 共同 参照 的 openssl 命令 的 设置 文件 


[ ca ] 
default_ca = CA_default # The default ca section 


[ CA_default ] 
dir = ./CA # Where everything is kept 
certs = $dir/certs # Where the issued certs are kept 
crl_dir = $dir/crl # Where the issued crl are kept 
database = $dir/index.txt # database index file. 
#Proprietary-defined _subject = no # Set to 
'no' to allow creation of 
# several ctificates with same subject. 
new certs dir = $dir/newcerts # default place for new certs. 
certificate = $dir/cacert.pem # The CA certificate 
serial - $dir/serial £ The current serial number 
crlnumber = $dir/crlnumber # the current crl number 
# must be commented out to leave a V1 CRL 
crl - $dir/crl.pem £ The current CRL 
private key = $dir/private/cakey.pem# The private key 
RANDFILE = $dir/private/.rand # private random number file 
x509_ extensions = usr cert # The extentions to add the cert 
name opt - ca default £ Subject Name options 
cert opt = ca default # Certificate field options 
policy - policy match 


[ policy match ] 

countryName = match 
stateOrProvinceName = match 
organizationName = supplied 
organizationalUnitName = optional 
commonName = supplied 
emailAddress = optional 


[ usr_cert ] 

basicConstraints=CA: FALSE 

nsComment = "OpenSSL Generated Certificate" 
subjectKeyIdentifier-hash 
authorityKeyIdentifier-keyid,issuer 


[ v3. ca ] 

subjectKeyIdentifier-hash 
authorityKeyIdentifier-keyid:always,issuer 
basicConstraints - CA:true 


创建 私有 证 书 


为 了 创建 私有 证 书 ， 你 必须 创建 一 个 shell 脚本 并 执行 它 ， 像 下 面 的 newca.sh 一 
样 。 在 shell 脚本 中 > SVSTART 和 svEND 代表 私有 证 书 的 有 效 期 ， svsUBJ 代 
表 Web 服务 器 的 名 称 ， 所 以 这 些 值 需要 根据 目标 Web 服务 器 而 更 改 。 尤 其 是 ， 

你 需要 确保 不 要 将 错误 的 主机 名 设置 为 SVSUBJ 的 /CN ， 它 指定 了 Web 服务 器 


2e 在 执行 shell 脚本 时 ， 会 询问 访问 证 书 机 构 的 密码 ， 因 此 你 需要 输 入 你 在 
创建 私有 证 书 机 构 时 设置 的 密码 。 之 后 ，Yy / n 总 共 被 询问 2 次 ， 每 次 需要 输 
入 y o 


newsv.sh -- 签发 私有 人 证书 的 Shell 脚本 


#!/bin/bash 
umask 0077 


CONFIG-openssl.cnf 

CATOP=./CA 

CAKEY-cakey . pem 

CACERT-cacert.pem 

SVKEY-svkey . pem 

SVREQ-svreq. pem 

SVCERT=svcert.pem 

SVX509=svcert.crt 

SVSTART=130101000000Z # 2013/01/01 00:00:00 GMT 
SVEND=230101000000Z # 2023/01/01 00:00:00 GMT 
SVSUBJ="/CN=selfsigned.jssec.org/0=JSSEC Secure Cofing Group/ST= 
Tokyo/C=JP" 


openssl genrsa -out ${SVKEY} 2048 
Openssl req -new -key ${SVKEY} -subj "${SVSUBJ}" -out ${SVREQ} 
openssl ca -md sha256 ¥ 

-keyfile ${CATOP}/private/${CAKEY} -cert ${CATOP}/${CACERT} 
¥ 

-startdate ${SVSTART} -enddate ${SVEND} ¥ 

-in ${SVREQ} -out ${SVCERT} -config ${CONFIG} 
openssl x509 -in ${SVCERT} -outform DER -out ${SVX509} 


执行 上 面 的 shell BP AUG » Web 服务 器 的 svkey.pem (4444 x4) 
和 svcert.pem (私有 证 书 文件 ) 都 在 工作 目录 下 生成 。 当 Web 服务 器 是 
Apache 时 ， 你 将 在 配置 文件 中 指定 prikey.pem 和 cert.pem ， 如 下 所 示 。 


SSLCertificateFile "/path/to/svcert.pem" 
SSLCertificateKeyFile "/path/to/svkey.pem" 


5.4.3.2 将 私有 证 书 机 构 的 根 证 书 安装 到 Android 操作 系统 的 证 
书 商店 


在 示例 代码 “5.4.1.3 通过 使 用 私有 证 书 的 HTTPS 进行 通信 "中 ， 绍 了 通过 将 根 证 
书 安装 到 中 ， 使 用 私有 证 书 建 立 应 用 到 Web 服务 器 的 会 话 的 方法 。 

本 节 将 介绍 通过 将 根 证 书 安装 到 Android OS 中 ， 建 立 使 用 私有 证 书 的 所 有 应 用 到 
oo 应 该 是 由 可 信 

证 书 机 构 颁 发 的 证 书 ， 包 括 你 自己 的 证 书 机 构 。 


首先 ， 你 需要 将 根 证 书 文件 cacert.crt 复制 到 Android 设备 的 内 部 存储 器 中 。 
你 也 可 以 从 https://selfsigned.jssec.org/cacert.crt 获取 示例 代码 中 使 用 的 根 证 书 文 
件 。 


然后 ， 你 将 从 Android 设置 中 打开 安全 页 面 ， 然 后 你 可 以 按 如 下 方式 在 Android 设 
备 上 安装 根 证 书 。 


< P Security » Confirm your pattern 


! É Draw your unlock pattern 
Make passwords visible 


Name the certificate 


Device administrators 
Certificat 


Unknown sources cacert 


F € The package contains: 
one CA certificate 


Trusted credentials 


Install from internal storage 


om int 


Clear credentials You need to draw your unlock pattern to confirm 
t credential installation 


( Pd Security 


Security certificate 


Issued to: 
Ks passwords yeas Common name 
SSEC Private CA 


zator 


Device administrators Organizational unit 
i 
number 
Unknown sources 00:9C:0B:04:BB:7A:F5:6C:5E 
' 区 
issued by: 
Common me 
JSSEC Private CA 
Trusted creden ) ratior 
t 
Organizational unit 
Install from internal storage 
t t t 
Validity: 


Clear credentials 





Figure 5.4-3 Checking if root certificate is installed or not 


在 Android 操作 系统 中 安装 根 证 书后 ， 所 有 应 用 都 可 以 正确 验证 证 书 机 构 颁 发 的 每 
个 私有 证 书 。 下 图 显示 了 在 Chrome 浏览 器 中 显示 
https://selfsigned.jssec.org/droid_knight.png 时 的 示例 。 


& tps jssec.org/« © 
Dà The site's security certificate is 
not trusted! 


Install root certificate 


SSS» 





yroceed, especially if you 


arning before for this 





https://selfsigned.jssec.org/droid knight.png 


Figure 5.4-4 Once root certificate installed, private certificates can be verified correctly. 


通过 以 这 种 方式 安装 根 证 书 ， 即 使 是 使 用 示例 代码 "5.4.1.2 通过 HTTPS 通信 ”的 应 
用 ， 也 可 以 通过 HTTPS 正确 连接 到 使 用 私有 证 书 操作 的 Web 服务 器 。 


5.4.3.3 禁止 证 书 验 证 的 危险 代码 


互联 网 上 发 现 了 很 多 不 正确 的 示例 (代码 片段 )， 它 们 允许 应 用 在 证 书 验证 错误 发 
生 后 ， 通 过 HTTPS 与 Web 服务 器 继续 通信 。 由 于 它们 作为 一 种 方式 而 引入 ， 通 
过 HTTPS 与 使 用 私有 证 书 的 Web 服务 器 进行 通信 ， 因 此 开发 人 员 通 过 复制 和 粘 
贴 使 用 这 些 示 例 代 码 ， 创 建 了 许多 应 用 。 不幸 的 是 ， 他 们 中 的 大 多 数 容易 受到 中 间 
人 攻击 。 正 如 本 文 前 面 所 述 ，“2012 F > Android 应 用 中 HTTPS 通信 实现 中 的 许 
多 缺陷 被 指出 "， 许 多 Android 应 用 已 经 实现 了 这 种 荔 受 攻击 的 代码 。 


下 面 显示 了 HTTPS 通信 的 几 个 存在 漏洞 的 代码 片段 。 当 你 找到 此 类 代码 片段 时 ， 
强烈 建议 替换 为 “5.4.1.3 通过 HTTPS 与 私有 证 书 进 行 通信 ?的 示例 代码 。 


风险 : 创建 室 TrustManager 时 的 情况 





TrustManager tm = new X509TrustManager() { 
@Override 
public void checkClientTrusted(X509Certificate[] chain, 
String authType) throws CertificateException { 
// Do nothing -> accept any certificates 


} 


@Override 

public void checkServerTrusted(X509Certificate[] chain, 
String authType) throws CertificateException { 
// Do nothing -> accept any certificates 


} 


QOverride 

public X509Certificate[] getAcceptedIssuers() { 
return null; 

} 


Po 
风险 : 创建 室 HostnameVerifier 时 的 情况 


HostnameVerifier hv = new HostnameVerifier() { 
@Override 
public boolean verify(String hostname, SSLSession session) { 
// Always return true -> Accespt any host names 
return true; 


H 


风险 : 使 用 ALLOW ALL. HOSTNAME VERIFIER 的 情况 


SSLSocketFactory sf; 


[uon] 


sf.setHostnameVerifier(SSLSocketFactory.ALLOW ALL HOSTNAME VERIF 
IER); 


5.4.3.4 HTTP 请 求 头 配置 的 注意 事项 


如 果 你 希望 为 HTTP 或 HTTPS 通信 指定 你 自己 的 单个 HTTP 请 求 头 ， 请 使 

用 URLConnection 类 中 

的 setRequestProperty() 或 addRequestProperty() 方法 。 如果 你 使 用 从 外 
部 来 源 接 收 的 输入 数据 作为 这 些 方法 的 参数 ， 则 必须 实施 HTTP 协议 头 注入 保护 。 
HTTP 协议 头 注入 攻击 的 第 一 步 ， 是 在 输入 数据 中 包含 回 车 代码 (在 HTTP 头 中 用 
作 分 隔 符 ) 。 因 此， 必须 从 输入 数据 中 删除 所 有 回 车 代码 。 


配置 HTTP 请 求 头 


public byte[] openConnection(String strUrl, String strLanguage, 
String strCookie) { 


// HttpURLConnection is a class derived from URLConnection 
HttpURLConnection connection; 


DV 
URL url = new URL(strUrl); 
connection - (HttpURLConnection) url.openConnection(); 
connection.setRequestMethod( GET"); 


// *** POINT *** When using input values in HTTP request 
headers, 


// check the input data in accordance with the applicati 
on's requirements 


// (see Section 3.2: Handling Input Data Carefully and S 
ecurely) 


if (strLanguage.matches("^[a-zA-Z ,-]+$")) { 
connection.addRequestProperty("Accept-Language", str 
Language); 
} else { 


throw new IllegalArgumentException("Invalid Language 
" + strLanguage); 


// *** POINT *** Or URL-encode the input data (as approp 
riate for the purposes of the app in 
queestion) 


connection.setRequestProperty("Cookie", URLEncoder.encod 
e(strCookie, "UTF-8")); 


connection.connect(); 


ES 


5.4.3.5 用 于 固定 的 注解 和 实现 示例 


当 应 用 使 用 HTTPS 通信 时 ， 在 通信 开始 时 执行 的 握手 过 程 中 的 一 个 步骤 是 ， 检 查 
从 远程 服务 器 发 送 的 证 书 是 否 由 第 三 方 证 书 机 构 签署 。 但 是 ， 攻 击 者 可 能 会 从 第 三 
方 认证 代理 获取 不 合适 的 证 书 ， 或 者 可 能 从 证 书 机 构 获 取 签 署 的 密 钥 来 构造 不 合适 
的 证 书 。 在 这 种 情况 下 ， 应 用 将 无 法 在 握手 过 程 中 检测 到 攻击 ， 即 使 在 攻击 者 建立 
不 正确 的 服务 器 或 中 间 人 攻击 的 情况 下 也 是 如 此 - 因此 ，， 可 能 会 造成 损失 。 
固定 技术 是 一 种 有 效 的 策略 ， 可 以 防止 不 正当 的 第 三 方 证 书 机 构 使 用 这 些 类 型 的 证 
书 ， 来 进行 中 间 人 攻击 。 在 这 种 方法 中 ， 远 程 服务 器 的 证 书 和 公 铀 被 预先 存储 在 一 
个 应 用 中 ， 并 且 这 个 信息 用 于 握手 过 程 ， 以 及 握手 过 程 完成 后 的 重新 测试 。 

如 果 第 三 方 证 书 机构 ( 公 钥 基础 设施 的 基础 ) 的 可 信 度 受到 损害 ， 则 可 以 使 用 固定 
来 恢复 通信 的 安全 性 。 应 用 开发 人 员 应 评估 自己 的 应 用 处 理 的 资产 级 别 ， 并 决定 是 
否 实现 这 些 测试 。 


在 握手 过 程 中 使 用 存储 在 应 用 中 的 证 书 和 公 铀 


为 了 在 握手 过 程 中 ， 使 用 存储 在 应 用 中 的 远程 服务 器 证 书 或 公 钥 中 包含 的 信息 ， 应 
用 必须 创建 包含 此 信息 的 ， 自 己 的 Keystore 并 在 通信 时 使 用 它 。 如 上 所 述 ， 即 
使 在 使 用 来 自 不 正当 的 第 三 方 证 书 机 构 的 证 书 的 ， 中 间 人 攻击 的 情况 下 ， 这 也 将 允 
许 应 用 检测 握手 过 程 中 的 不 当 行 为 。 请 参阅 "5.4.1.3 使 用 HTTPS 与 私有 证 书 进行 
通信 ?一 节 中 介绍 的 示例 代码 ， 了 解 建立 应 用 自己 的 KeyStore 来 执行 HTTPS 通 
信 的 详细 方法 。 


握手 过 程 完 成 后 ， 使 用 应 用 中 存储 的 证 书 和 公 铀 信息 进行 重新 测试 


为 了 在 握手 过 程 完 成 后 重新 测试 远程 服务 器 ， 应 用 首先 会 获得 证 书 链 ， 它 在 握手 过 
程 中 受到 系统 测试 和 信任 ， 然 后 比较 该 证 书 链 和 预先 存储 在 应 用 中 的 信息 。 如 果 比 
较 结果 表明 它 与 应 用 中 存储 的 信息 一 致 ， 则 可 以 允许 通信 进行 ; 否则 ， 应 该 中 止 通 
言 过 程 。 但 是 ， 如 果 应 用 使 用 下 面 列 出 的 方法 ， 尝 试 获取 在 握手 期 间 受 系统 信任 的 
证 书 链 ， 则 应 用 可 能 无 法 获得 预期 的 证 书 链 ， 从 而 存在 固定 可 能 无 法 正常 工作 的 风 
险 [26] ° 


[26] 这 篇 文章 详细 解释 了 风险 : https://www.cigital.com/blog/ineffective- 
certificate-pinning-implementations/ ° 


e javax.net.ssl.SSLSession.getPeerCertificates() 
e javax.net.ssl.SSLSession.getPeerCertificateChain() 


这 些 方法 返回 的 东西 ， 不 是 在 握手 过 程 中 受 系统 信任 的 证 书 链 ， 而 是 应 用 从 通信 伙 
伴 本 身 接收 到 的 证 书 链 。 因此， 即使 中 间 人 攻击 导致 证 书 链 中 附加 不 正当 证 书 机 构 
的 证 书 ， 上 述 方 法 也 不 会 返回 握手 期 间 受 系统 信任 的 证 书 ; 相反 ， 应 用 最 初试 图 连 
接 的 服务 器 的 证 书 也 将 同时 返回 。 由 于 固定 ， 这 个 证 书 将 等 同 于 预先 存储 在 应 用 中 
的 证 书 ; 因此 重新 测试 它 不 会 检测 到 任何 不 当 行 为 。 由 于 这 个 以 及 其 他 类 似 的 原 
因 ， 在 握手 后 执行 重新 测试 时 ， 最 好 避免 使 用 上 述 方法 。 


在 Android 版 本 4.2 (API 级 别 17) 及 更 高 版 本 中 ， 使 
用 net.http.X509TrustManagerExtensions T fcheckServerTrusted() 方法 ， 
将 允许 应 用 仅 获 取 担 手 期 间 受 系统 信任 的 证 书 链 。 


一 个 示例 ， 展 示 了 使 用 X509TrustManagerExtensions 的 固定 


// Store the SHA-256 hash value of the public key included in th 
e correct certificate for the remote server (pinning) 
private static final Set<String> PINS = new HashSet<>(Arrays.asL 
ist( 
new String[] { 
"d9b1a68Ffceaa460ac492Fb8452ce13bd8c78c6013F989b76F186b1ic 
bbat315c1", 
"cdi3bb83c426551c67fabcff38d4496e094d50a20c7c15e886c151d 
eb8b31cdc" 
j 
)); 


// Communicate using AsyncTask work threads 
protected Object doInBackground(String... strings) ( 


[mesi 


// Obtain the certificate chain that was trusted by the syst 
em by testing during the handshake 
X509Certificate[] chain = (X509Certificate[]) connection.get 
ServerCertificates(); 
X509TrustManagerExtensions trustManagerExt = new X509TrustMa 
nagerExtensions((X509TrustManager) (trus 
tManagerFactory.getTrustManagers()[9])); 
List«X509Certificate» trustedChain = trustManagerExt.checkSe 
rverTrusted(chain, "RSA", url.getHost()); 
// Use public-key pinning to test 
boolean isValidChain - false; 
for (X509Certificate cert : trustedChain) ( 
PublicKey key - cert.getPublicKey(); 
MessageDigest md = MessageDigest.getInstance( SHA-256"); 
String keyHash - bytesToHex(md.digest(key.getEncoded())) 
// Compare to the hash value stored by pinning 
if(PINS.contains(keyHash)) isValidChain - true; 


j 
if (isValidChain) ( 
// Proceed with operation 
) else { 
// Do not proceed with operation 
j 


[...] 
} 


private String bytesToHex(byte[] bytes) { 
StringBuilder sb = new StringBuilder(); 
for (byte b : bytes) { 
String s = String.format("%02x", b); 
sb.append(s); 
} 


return sb.toString(); 


5.4.3.6 使 用 Google Play 服务 解决 OpenSSL 漏洞 的 策略 


Google Play 服务 (版 本 5.0 和 更 高 ) 提供 了 一 个 称 为 Provider Installer 的 框架 。 
这 可 以 用 于 解决 安全 供应 器 中 的 漏洞 ， 它 是 OpenSSL 和 其 他 加 密 相关 技术 的 实 
I o 详细 信息 请 参见 “5.6.3.5 通过 Google Play 服务 解决 安全 供应 器 的 漏洞 ”。 


5.4.3.7 网 络 安 全 配置 


Android 7.0 (API Level 24) 引入 了 一 个 称 为 "网络 安全 配置 ?的 框架 ， 人 允许 各 个 应 
用 为 网 络 通信 配置 它们 自己 的 安全 设置 。 通 过 使 用 此 框架 ， 应 用 可 以 轻松 集成 各 种 
技术 ， 来 提高 应 用 安全 性 ， 不 仅 包括 与 私 钥 证 书 和 公 钥 国定 的 HTTPS 通信 ， 还 可 
防止 未 加 密 (HTTP) 通信 ， 以 及 仅 在 调试 过 程 中 启用 的 私 钥 证 书 [27] © 


[27] 网 络 安 全 配置 的 更 多 信息 ， 请 见 
https://developer.android.com/training/articles/security-config.html » 


只 需 通过 配置 xml 文件 中 的 设置 ， 即 可 访问 网 络 安 全 配置 提供 的 各 种 功能 ， 它 们 
可 应 用 于 整 个 应 用 的 HTTP 和 HTTPS 通信 。 这 消除 了 修改 应 用 代码 或 执行 任何 客 
外 操作 的 需要 ， 简 化 了 实现 并 提供 了 防范 组 合 错误 或 漏洞 的 有 效 方法 。 


使 用 私有 证 书 通过 HTTPS 进行 通信 
“5.4.1.3 通过 HTTPS 与 有 证 书 进 行 通信 "部 分 介绍 了 与 私有 证 书 (例如 自 签 名 证 书 
或 公司 内 部 证 书 ) 的 HTTPS 通信 的 示例 代码 。 但 是 ， 通 过 使 用 网 络 安全 配置 ， 开 
发 人 员 可 以 在 “5.4.1.2 通过 HTTPS 进行 通信 ?的 示例 代码 中 使 用 私有 证 书 ， 而 无 需 
实现 。 


使 用 私有 证 书 与 特定 域 进行 通信 


<?xml version="1.0" encoding="utf-8"?> 
<network-security-config> 


<domain-config> 
<domain includeSubdomains="true">jssec.org</domain> 


<trust-anchors> 
<certificates src="@raw/private_ca" /> 


</trust-anchors> 
</domain-config> 
</network-security-config> 


在 上 面 的 示例 中 ， 用 于 通信 的 私有 证 书 ( private_ca ) 可 以 作为 资源 存储 在 应 
用 中 ， 带 有 使 用 条 件 及 其 在 xml 文件 中 描述 的 适用 范围 。 通 过 使 

用 <domain- onus 标签 ， 私 有 证 书 可 以 仅仅 应 用 于 特定 域 。 为 了 对 应 用 执行 的 
所 有 HTTPS 通信 使 用 私有 证 书 ， 请 使 用 <base- config» 标签 ， 如 下 所 示 。 


对 应 用 执行 的 所 有 HTTPS 通信 使 用 私人 证 书 


<?xml version="1.0" encoding="utf-8"?> 
<network-security-config> 
<base-config> 
<trust-anchors> 
<certificates src="@raw/private_ca" /> 


</trust-anchors> 
</base-config> 
</network-security-config> 


E] x 


我 们 在 “5.4.3.5 Ht E] og 083 3: Re Sc SUR I" PS) TAAR Lo 38 i4 EIL A 
配置 ， 如 下 例 所 示 ， 你 不 必 在 代码 中 实现 认证 过 程 ; 相反 ， xml 文件 中 的 规范 足以 


确保 正确 的 认证 。 
对 HTTPS 通信 使 用 公 角 固定 


<?xml version="1.0" encoding="utf-8"?> 
<network-security-config> 
<domain-config> 
<domain includeSubdomains="true">jssec.org</domain> 
<pin-set expiration="2018-12-31"> 
«pin digest="SHA-256">e30Lky+iwWK21yHS1Ss5DJORZNikOdvQ 
UOGXvurPidc2E=</pin> 
<!-- 用 于 备份 --> 
«pin digest="SHA-256">fwzaOLRMXouZHRC8Ei+4PyuldPDcf3 
UKg0/04cDM10E=</pin> 
</pin-set> 
</domain-config> 
</network-security-config> 


上 面 «pin» 标签 描述 的 数量 ， 是 用 于 固定 的 公 钥 的 base64 编码 哈 希 值 。 唯一 支 
持 的 散 列 函数 是 SHA-256。 


防止 未 加 密 (HTTP) 通信 
使 用 网 络 安全 配置 可 以 阻止 应 用 进行 HTTP 通信 (未 加 密 通 信 ) e 
防止 未 加 密 (HTTP) 通信 


<?xml version="1.0" encoding="utf-8"?> 

<network-security-config> 
«domain-config cleartextTrafficPermitted="false"> 
<domain includeSubdomains="true">jssec.org</domain> 
</domain-config> 

</network-security-config> 


在 上 面 的 例子 中 ， 我 们 在 «domain-config» 标签 中 指定 了 属 

性 cleartextTrafficPermitted-"false" ° 这 可 以 防止 指定 域 的 HTTP 通信 
从 而 强制 使 用 HTTPS 通信 。 在 <base-config> 标记 中 包含 此 属性 设置 ， 将 会 阻 
止 所 有 域 的 HTTP 通信 [28]。 但 请 谨 懂 注意 ， 此 设置 不 适用 于 WebView ° 


» 


[28] 网 络 安全 配置 如 何 为 非 HTTP. 连接 工作 ， 请 参阅 以 下 API 参考 。 
特地 用 于 调试 目的 的 私有 证 书 


为 了 在 应 用 开发 过 程 中 进行 调试 ， 开 发 人 员 可 能 希望 使 用 私有 证 书 ， 与 某 些 
HTTPS 服务 器 进行 通信 ， 它 们 由 于 应 用 开发 目的 而 存在 。 在 这 种 情况 下 ， 开 发 人 
员 必 须 注 意 确保 没有 危险 的 实现 (包括 禁用 证 书 认证 的 代码 ) 被 合并 到 应 用 中 ; 这 
在 “5.4.3.3 禁用 证 书 验证 的 危险 代码 "一 节 中 讨论 。 在 网 络 安全 配置 中 ， 可 以 按照 下 
面 的 示例 来 配置 ， 来 规定 一 组 仅 在 调试 时 才 使 用 的 证 书 (4x 

当 AndroidManifest.xml 文件 中 的 android:debuggable 设置 为 true 时 ) 。 
这 消除 了 危险 代码 可 能 无 意 中 保留 在 应 用 的 发 行 版 中 的 风险 ， 因 此 是 防止 漏洞 的 有 
效 手段 。 


仅 在 调试 时 使 用 私有 证 书 


5.4.3 高 级 话题 


<?xml version="1.0" encoding="utf-8"?> 
<network-security-config> 
<debug-overrides> 
<trust-anchors> 
<certificates src="@raw/private_cas" /> 
</trust-anchors> 
</debug-overrides> 
</network-security-config> 


415 


5.5 处 理 隐 私 数据 


近年 来 ，“ 隐 私 设计 ”概念 已 被 提出 ， 作 为 保护 隐私 数据 的 全 球 趋势 。 基 于 这 一 概 
念 ， 各 国政 府 正在 推动 隐私 保护 立法 。 


在 智能 手机 中 使 用 用 户 数据 的 应 用 必须 采取 措施 ， 来 确保 用 户 可 以 安全 地 使 用 应 

n gat Ase ctae vct dcs 这 些 步 骤 包 括 适 当 处 理 用 户 数据 ， 并 要 求 用户 选 
择 应 用 是 否 可 以 使 用 某 些 数据 。 为 此 ， 每 个 应 用 必须 Ec m e 指 
明 应 用 将 使 用 哪些 信息 ， 以 及 如 何 使 用 该 信息 ; 而 有 全， 在 获取 和 使 用 某 些 信息 时 ， 
应 用 必须 首先 向 用 户 请 求 许可 。 请 注意 ， 应 用 隐私 政策 与 过 去 可 外 存在 的 其 他 文档 
(例如 “个 人 数据 保护 政策 ”或 “使 用 条 款 ”) 不 同 ， 且 必须 与 任何 此 类 文档 分 开创 建 。 


创建 和 执行 隐私 政策 的 详细 信息 ， 请 参见 日 本 总 务 省 (MIC) 发 布 的 文档 
(Smartphone Privacy Initiative》 和 《Smartphone Privacy Initiative II) (JMIC 的 
SPI) ° 


本 节 中 使 用 的 术语 在 “5.5.3.2 术语 表 ” 中 以 文本 定义 。 


5.5.1 示例 代码 


在 准备 应 用 的 隐私 政策 时 ， 你 可 以 使 用 “协助 创建 应 用 隐私 政策 的 工具 ” [29] 。 这 些 
工具 以 HTML 格式 和 XML 格式 输出 两 个 文件 - 应 用 隐私 策略 的 摘要 版 本 和 详细 版 
本 。 这 些 文件 的 HTML 和 XML 内 容 符 合 MIC SPI 的 建议 ， 包 括 搜 索 标 签 等 特性 。 
在 下 面 的 示例 代码 中 ， 我 们 将 演示 此 工具 的 用 法 ， 并 使 用 由 这 个 工具 产生 的 HTML 
文件 来 展示 程序 隐私 策略 。 


[29] http://www.kddilabs.jp/tech/public-tech/appgen.html 


8! Privacy Policy Test Application 


A Summary of Data 
Transmitted 


PrivacyPolicyTestApplication will transmit the 
following data to external destinations. 


User data that will be transmitted: 
Cookies (randomly generated identifiers) or 
application-specific IDs 
Data input by users 
Location data 


Purposes for transmitting this data: 
For customer support 


To provide the traditional features of this 
application or service 


Destinations to which the data will be 
transmitted: 


JSSEC Secure Coding WG 





Figure 5.5-1 Sample of Abstract Application Privacy Policy 


更 具体 地 说 ， 你 可 以 使 用 以 下 流程 图 来 确定 使 用 哪个 示例 代码 。 









he user data obtained will be transmitte: 
to an external server 


Data that is difficult for the 
user to change will be 
transmitted to the server 


Data that requires delicate handing 
wil be transmitted to the server 

















Both broad consent and 
specific consent are granted: 
Applications that incorporate 
application privacy policy 













Broad consent is granted 
Applications that incorporate 
application privacy policy 


Broad consent is not needed: 
Applications that incorporate 
application privacy policy 


Applications that do not 
incorporate 
an application privacy policy 






Figure 5.5-2 Flow Figure to select sample code of handling privacy data 


这 里 ，“ 广 泛 同 意 "一 词 ， ， 指 代 广 泛 许 可 ， 由 用 户 在 应 用 的 首次 加 载 时 ， 通 过 展示 和 
查看 程序 隐私 策略 授予 应 用 ， 用 于 应 ee 相反 ， 短 语 “ 特 
定 同意 ” 指 代 在 传输 特定 用 户 数 据 之 前 ， 立 即 获得 的 预先 同意 


5.5.1.1 授 子 广泛 同意 和 特定 同意 : 包含 应 用 隐私 政策 的 应 用 
要 点 : 


1. 首次 加 载 (或 应 用 更 新 ) 时 ， 获 得 广泛 同意 ， 来 传输 将 由 应 用 处 理 的 用 户 数 
据 。 

如 果 用 户 未 授予 广泛 同意 ， 请 勿 传输 用 户 数据 。 

在 传输 需要 特别 细致 的 处 理 的 用 户 数 据 之 前 获得 特定 同意 。 

如 果 用 户 未 授予 特定 同意 ， 请 勿 传输 相应 的 数据 。 

向 用 户 提 供 可 以 查看 应 用 隐私 策略 的 方法 。 

提供 通过 用 户 操作 删除 传输 的 数据 的 方法 。 

提供 通过 用 户 操作 停止 数据 传输 的 方法 。 

使 用 UUID 或 cookie 来 跟踪 用 户 数据 。 

将 应 用 隐私 策略 的 摘要 版 本 放置 在 素材 文件 夹 中 。 


MainActivity.java 


(G po c E pr ds So IN 


package org.jssec.android.privacypolicy; 

import java.io.IOException; 

import org.json.JSONException; 

import org.json.JSONObject; 

import org.jssec.android.privacypolicy.ConfirmFragment.DialogLis 
tener; 

import com.google.android.gms.common.ConnectionResult; 

import com.google.android.gms.common.GooglePlayServicesClient; 
import com.google.android.gms.common.GooglePlayServicesUtil; 
import com.google.android.gms.location.LocationClient; 

import android.location.Location; 








import android.os.AsyncTask; 

import android.os.Bundle; 

import android.content.Intent; 

import android.content.IntentSender; 

import android.content.SharedPreferences; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 

import android.support.v4.app.FragmentActivity; 

import android.support.v4.app.FragmentManager; 

import android.text.Editable; 

import android.text.TextWatcher; 

import android.view.Menu; 

import android.view.MenuItem; 

import android.view.View; 

import android.widget.TextView; 

import android.widget.Toast; 

public class MainActivity extends FragmentActivity 
implements GooglePlayServicesClient.ConnectionCallbacks, 
GooglePlayServicesClient.OnConnectionFailedListener, DialogL 


istener { 


private 
com/pp" ; 
private 
:php 
private 
d_data.php"; 
private 
-php 
private 
private 
private 
private 


static final String BASE_URL = "https://www.example. 
static final String GET_ID_URI = BASE_URL + "/get_id 
static final String SEND_DATA_URI = BASE_URL + "/sen 
static final String DEL_ID_URI = BASE_URL + "/del_id 
static final String ID_KEY = "id"; 

static final String LOCATION_KEY = "location"; 


static final String NICK_NAME_KEY = "nickname"; 
static final String PRIVACY_POLICY_COMPREHENSIVE_AGR 


EED KEY = "privacyPolicyComprehensiveAgreed"; 


private 


static final String PRIVACY POLICY DISCRETE TYPE1 AG 


REED KEY = "privacyPolicyDiscreteTypeiAgreed"; 


private 


static final String PRIVACY POLICY PREF NAME - "priv 


acypolicy preference"; 


private static final int CONNECTION FAILURE RESOLUTION REQUE 
Sus 25% 

private String UserId = ""; 

private LocationClient mLocationClient - null; 

private final int DIALOG TYPE COMPREHENSIVE AGREEMENT - 1; 

private final int DIALOG TYPE PRE CONFIRMATION - 2; 

private static final int VERSION TO SHOW COMPREHENSIVE AGREE 
MENT ANEW - 1; 

private TextWatcher watchHandler = new TextWatcher() ( 

@Override 


public void beforeTextChanged(CharSequence s, int start, 


int count, 


int after) { 


} 


@Override 
public void onTextChanged(CharSequence s, int start, int 
before, int count) { 
boolean buttonEnable = (s.length() > 0); 
MainActivity.this.findViewById(R.id.buttonStart).set 
Enabled(buttonEnable); 


} 
@Override 
public void afterTextChanged(Editable s) { 
} 
}; 
@Override 


protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
// Fetch user ID from serverFetch user ID from server 
new GetDataAsyncTask().execute(); 
findViewById(R.id.buttonStart).setEnabled(false); 
((TextView) findViewById(R.id.editTextNickname)).addText 
ChangedListener(watchHandler); 
int resultCode - GooglePlayServicesUtil.isGooglePlayServ 
icesAvailable(this); 
if (resultCode == ConnectionResult.SUCCESS) { 
mLocationClient = new LocationClient(this, this, thi 


s); 
} 


@Override 
protected void onStart() { 
super .onStart(); 
SharedPreferences pref = getSharedPreferences(PRIVACY_PO 
LICY_PREF_NAME, MODE_PRIVATE); 
int privacyPolicyAgreed = pref.getInt(PRIVACY_POLICY_COM 
PREHENSIVE AGREED KEY, -1); 
if (privacyPolicyAgreed «- VERSION TO SHOW COMPREHENSIVE 
AGREEMENT ANEW) { 

// *** POINT 1 *** On first launch (or application u 
pdate), obtain broad consent to transmit user data that will be 
handled by the application. 

// When the application is updated, it is only neces 
sary to renew the user's grant of broad c 

onsent if the updated application will handle new ty 
pes of user data. 

ConfirmFragment dialog - ConfirmFragment.newInstance 
(R.string.privacyPolicy, R.string.agreeP 

rivacyPolicy, DIALOG TYPE COMPREHENSIVE AGREEMENT); 

dialog.setDialogListener(this); 

FragmentManager fragmentManager - getSupportFragment 


Manager(); 
dialog.show(fragmentManager, "dialog"); 


// Used to obtain location data 
if (mLocationClient != null) { 
mLocationClient.connect(); 


} 
} 


@Override 
protected void onStop() { 
if (mLocationClient != null) { 
mLocationClient.disconnect(); 


j 


super.onStop(); 


} 


public void onSendToServer(View view) { 

// Check the status of user consent. 

// Actually, it is necessary to obtain consent for each 
user data type. 

SharedPreferences pref = getSharedPreferences(PRIVACY_PO 
LICY_PREF_NAME, MODE_PRIVATE); 

int privacyPolicyAgreed = pref.getInt(PRIVACY POLICY DIS 
CRETE TYPE1 AGREED KEY, -1); 

if (privacyPolicyAgreed «- VERSION TO SHOW COMPREHENSIVE 
AGREEMENT ANEW) { 

// *** POINT 3 *** Obtain specific consent before tr 
ansmitting user data that requires particularly delicate handlin 
g. 

ConfirmFragment dialog - ConfirmFragment.newInstance 
(R.string.sendLocation, R.string.cofirmS 

endLocation, DIALOG TYPE PRE CONFIRMATION); 

dialog.setDialogListener(this); 

FragmentManager fragmentManager = getSupportFragment 
Manager(); 

dialog.show(fragmentManager, "dialog"); 

) else { 
// Start transmission, since it has the user consent 


onPositiveButtonClick(DIALOG TYPE PRE CONFIRMATION); 


j 


public void onPositiveButtonClick(int type) { 
if (type == DIALOG TYPE COMPREHENSIVE AGREEMENT) { 

// *** POINT 1 *** On first launch (or application u 
pdate), obtain broad consent to transmit user data that will be 
handled by the application. 

SharedPreferences.Editor pref - getSharedPreferences 
(PRIVACY POLICY PREF NAME, MODE PRIVATE).edit(); 

pref.putInt(PRIVACY POLICY COMPREHENSIVE AGREED KEY, 

getVersionCode()); 


pref.apply(); 
) else if (type == DIALOG TYPE PRE CONFIRMATION) { 


// *** POINT 3 *** Obtain specific consent before tr 
ansmitting user data that requires particularly delicate handlin 
g. 

if (mLocationClient != null && mLocationClient.isCon 
nected()) { 

Location currentLocation = mLocationClient.getLa 
stLocation(); 
if (currentLocation != null) { 
String locationData = "Latitude:" + currentL 
ocation.getLatitude() + ", Longitude:" + 
currentLocation.getLongitude(); 
String nickname = ((TextView) findViewById(R 
.id.editTextNickname)).getText().toString(); 
Toast.makeText(MainActivity.this, this.getCl 
ass().getSimpleName() + "¥n - nickname 
" + nickname + "¥n - location : " + loca 
tionData, Toast.LENGTH_SHORT).show(); 
new SendDataAsyncTack().execute(SEND_DATA_UR 
I, UserId, locationData, nickname); 


} 


// Store the status of user consent. 

// Actually, it is necessary to obtain consent for e 
ach user data type. 

SharedPreferences.Editor pref = getSharedPreferences 
(PRIVACY POLICY PREF NAME, MODE PRIVATE).edit(); 

pref.putInt(PRIVACY POLICY DISCRETE TYPE1 AGREED KEY 
, getVersionCode()); 


pref .apply(); 
j 
j 


public void onNegativeButtonClick(int type) { 
if (type == DIALOG TYPE COMPREHENSIVE AGREEMENT) { 
// *** POINT 2 *** If the user does not grant genera 
l consent, do not transmit user data. 
// In this sample application we terminate the appli 
cation in this case. 
finish(); 
} else if (type == DIALOG TYPE PRE CONFIRMATION) { 
// *** POINT 4 *** If the user does not grant specif 
ic consent, do not transmit the correspon 
ding data. 
// The user did not grant consent, so we do nothing. 


j 


private int getVersionCode() { 
int versionCode - -1; 
PackageManager packageManager = this.getPackageManager() 


try { 
PackageInfo packageInfo = packageManager.getPackageI 


nfo(this.getPackageName(), PackageManager.GET ACTIVITIES); 
versionCode - packageInfo.versionCode; 
} catch (NameNotFoundException e) { 
// This is sample, so omit the exception process 


} 

return versionCode; 
} 
@Override 


public boolean onCreateOptionsMenu(Menu menu) { 
getMenuInflater().inflate(R.menu.main, menu); 
return true; 


} 


@Override 
public boolean onOptionsItemSelected(MenuItem item) { 
switch (item.getItemId()) { 
case R.id.action_show_pp: 
// *** POINT 5 *** Provide methods by which the 
user can review the application privacy policy. 
Intent intent = new Intent(); 
intent.setClass(this, WebViewAssetsActivity.clas 
s); 
startActivity(intent); 
return true; 
case R.id.action del id: 
// *** POINT 6 *** Provide methods by which tran 
smitted data can be deleted by user operations. 
new SendDataAsyncTack().execute(DEL ID URI, User 
Id); 
return true; 
case R.id.action donot send id: 
// *** POINT 7 *** Provide methods by which tran 
smitting data can be stopped by user operations. 
// If the user stop sending data, user consent i 
S deemed to have been revoked. 
SharedPreferences.Editor pref - getSharedPrefere 
nces(PRIVACY POLICY PREF NAME, MODE PRIVATE).edit(); 
pref.putInt(PRIVACY POLICY COMPREHENSIVE AGREED 





KEY, 0); 

pref.apply(); 

// In this sample application if the user data c 
annot be sent by user operations, 

// finish the application because we do nothing. 

String message - getString(R.string.stopSendUser 
Data); 

Toast.makeText(MainActivity.this, this.getClass( 
).getSimpleName() + " - " + message, Toast.LENGTH_SHORT).show(); 

finish(); 

return true; 


return false; 


} 


@Override 
public void onConnected(Bundle connectionHint) { 
if (mLocationClient != null && mLocationClient.isConnect 
ed()) 1 
Location currentLocation - mLocationClient.getLastLo 
cation(); 
if (currentLocation !- null) ( 

String locationData = "Latitude Xt: " + currentL 
ocation.getLatitude() + "¥n¥tLongitude Xt: " + currentLocation.g 
etLongitude(); 

String text = "Xn" + getString(R.string.your loc 
ation title) + "¥n¥t" + locationData; 

TextView appText = (TextView) findViewById(R.id. 


appText); 
appText.setText(text); 
} 
} 
} 
@Override 


public void onConnectionFailed(ConnectionResult result) { 
if (result.hasResolution()) { 

try { 

result.startResolutionForResult(this, CONNECTION 
_FAILURE_RESOLUTION_REQUEST) ; 

) catch (IntentSender.SendIntentException e) { 
e.printStackTrace(); 

j 


} 


@Override 

public void onDisconnected() { 
mLocationClient = null; 

} 


private class GetDataAsyncTask extends AsyncTask<String, Voi 
d, String> { 


private String extMessage = ""; 


@Override 
protected String doInBackground(String... params) { 
// *** POINT 8 *** Use UUIDs or cookies to keep trac 
k of user data 
// In this sample we use an ID generated on the serv 
er side 
SharedPreferences sp - getSharedPreferences(PRIVACY . 
POLICY PREF NAME, MODE PRIVATE); 
UserId - sp.getString(ID KEY, null); 


if (UserId == null) { 
// No token in SharedPreferences; fetch ID from 


server 
try { 
UserId = NetworkUtil.getCookie(GET ID URI, " 
Ast patre I ) 
) catch (IOException e) { 
// Catch exceptions such as certification er 
rors 


extMessage - e.toString(); 


// Store the fetched ID in SharedPreferences 
sp.edit().putString(ID KEY, UserId).commit(); 


j 
return UserId; 
} 
@Override 
protected void onPostExecute(final String data) { 


String status = (data != null) ? "success" : "error" 
/ 
Toast.makeText(MainActivity.this, this.getClass().ge 
tSimpleName() + " - "+ status + " : "+ 
extMessage, Toast.LENGTH SHORT).show( ); 


} 
} 


private class SendDataAsyncTack extends AsyncTask<String, Vo 
id, Boolean> { 


private String extMessage = ""; 
@Override 
protected Boolean doInBackground(String... params) { 


String url = params[0]; 
String id = params[1]; 
String location = params.length > 2 ? params[2] : nu 
dus 
String nickname - params.length » 3 ? params[3] : nu 
TT 
Boolean result - false; 
try { 
JSONObject jsonData = new JSONObject(); 
jsonData.put(ID_KEY, id); 


if (location != null) 
jsonData.put(LOCATION_KEY, location); 
if (nickname != null) 


jsonData.put(NICK_NAME_KEY, nickname); 
NetworkUtil.sendJSON(url, "", jsonData.toString( 
)); 
result = true; 
} catch (IOException e) { 
// Catch exceptions such as certification errors 


extMessage = e.toString(); 
} catch (JSONException e) { 
extMessage = e.toString(); 


} 
return result; 
} 
@Override 
protected void onPostExecute(Boolean result) { 
String status = result ? "Success" : "Error"; 
Toast .makeText(MainActivity.this, this.getClass().ge 
tSimpleName() + " - "+ status + " : "+ 
extMessage, Toast.LENGTH SHORT).show(); 
} 
} 
} 
ConfirmFragment.java 


package org.jssec.android.privacypolicy; 


import android.app.Activity; 

import android.app.AlertDialog; 

import android.app.Dialog; 

import android.content.Context; 

import android.content.DialogInterface; 
import android.content.Intent; 

import android.os.Bundle; 

import android.support.v4.app.DialogFragment; 
import android.view.LayoutInflater; 
import android.view.View; 

import android.view.View.OnClickListener; 
import android.widget.TextView; 


public class ConfirmFragment extends DialogFragment { 
private DialogListener mListener = null; 


public static interface DialogListener { 
public void onPositiveButtonClick(int type); 
public void onNegativeButtonClick(int type); 


} 


public static ConfirmFragment newInstance(int title, int sen 
tence, int type) { 
ConfirmFragment fragment = new ConfirmFragment(); 
Bundle args = new Bundle(); 
args.putInt("title", title); 
args.putInt("sentence", sentence); 
args.putInt("type", type); 
fragment.setArguments(args); 
return fragment; 


l 


QOverride 
public Dialog onCreateDialog(Bundle args) { 
// *** POINT 1 *** On first launch (or application updat 
e), obtain broad consent to transmit user data that will be hand 
led by the application. 
// *** POINT 3 *** Obtain specific consent before transm 
itting user data that requires particularly delicate handling. 
final int title - getArguments().getInt("title"); 
final int sentence = getArguments().getInt("sentence"); 
final int type = getArguments().getInt("type"); 
LayoutInflater inflater = (LayoutInflater) getActivity() 
.getSystemService(Context.LAYOUT INFLATER SERVICE); 
View content - inflater.inflate(R.layout.fragment comfir 


m, null); 
TextView linkPP = (TextView) content.findViewById(R.id.t 
x_link_pp); 


linkPP.setOnClickListener(new OnClickListener() { 


@Override 
public void onClick(View v) { 
// *** POINT 5 *** Provide methods by which the 
user can review the application privacy policy. 
Intent intent = new Intent(); 
intent.setClass(getActivity(), WebViewAssetsActi 
vity.class); 
startActivity(intent); 


} 

}); 

AlertDialog.Builder builder = new AlertDialog.Builder(ge 
tActivity()); 

builder.setIcon(R.drawable.ic launcher); 

builder.setTitle(title); 

builder.setMessage(sentence); 

builder.setView(content); 

builder.setPositiveButton(R.string.buttonConsent, new Di 
alogInterface.OnClickListener() { 


public void onClick(DialogInterface dialog, int whic 
hButton) { 
if (mListener !- null) ( 
mListener.onPositiveButtonClick(type); 


} 
} 
3); 


builder.setNegativeButton(R.string.buttonDonotConsent, n 
ew DialogInterface.OnClickListener() ( 


public void onClick(DialogInterface dialog, int whic 
hButton) { 
if (mListener !- null) ( 
mListener.onNegativeButtonClick(type); 


} 
3): 


Dialog dialog - builder.create(); 
dialog.setCanceledOnTouchOutside(false); 
return dialog; 


} 


@Override 
public void onAttach(Activity activity) { 
super.onAttach(activity); 
if (!(activity instanceof DialogListener)) { 
throw new ClassCastException(activity.toString() + " 
must implement DialogListener."); 
} 


mListener = (DialogListener) activity; 


} 


public void setDialogListener(DialogListener listener) { 
mListener = listener; 


} 


WebViewAssetsActivity.java 


package org.jssec.android.privacypolicy; 


import android.app.Activity; 
import android.os.Bundle; 

import android.webkit.WebSettings; 
import android.webkit.WebView; 


public class WebViewAssetsActivity extends Activity { 


// *** POINT 9 *** Place a summary version of the applicatio 
n privacy policy in the assets folder 

private static final String ABST PP URL - "file:///android a 
sset/PrivacyPolicy/app-policy-abst-privacypolicy-1.0.html"; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity webview); 
WebView webView - (WebView) findViewById(R.id.webView); 
WebSettings webSettings - webView.getSettings(); 
webSettings.setAllowFileAccess(false); 
webView.loadUrl(ABST PP URL); 


55.128 TT) ZAŠ: 包含 应 用 隐私 政策 的 应 用 


要 点 : 


1. 首次 加 载 (或 应 用 更 新 ) 时 ， 获 得 广泛 同意 ， 来 传输 将 由 应 用 处 理 的 用 户 数 
据 。 

2. 如 果 用 户 未 授予 广泛 同意 ， 请 勿 传输 用 户 数 据 o 

3. 向 用 户 提 供 可 以 查看 应 用 隐私 策略 的 方法 。 

4. 提供 通过 用 户 操作 删除 传输 的 数据 的 方法 。 

b. 提供 通过 用 户 操作 停止 数据 传输 的 方法 。 

6. 使 用 UUID 或 cookie 来 跟踪 用 户 数 据 。 

7. 将 应 用 隐私 策略 的 摘要 版 本 放置 在 素材 文件 夹 中 。 


MainActivity.java 


package org.jssec.android.privacypolicynopreconfirm; 


import java.io.IOException; 

import org.json.JSONException; 

import org.json.JSONObject; 

import org.jssec.android.privacypolicynopreconfirm.MainActivity; 
import org.jssec.android.privacypolicynopreconfirm.R; 

import org.jssec.android.privacypolicynopreconfirm.ConfirmFragme 
nt.DialogListener; 

import android.os.AsyncTask; 

import android.os.Bundle; 

import android.content.Intent; 

import android.content.SharedPreferences; 

import android.content.pm.PackageInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.support.v4.app.FragmentActivity; 

import android.support.v4.app.FragmentManager ; 

import android.telephony.TelephonyManager; 

import android.text.Editable; 

import android.text.TextWatcher; 

import android.view.Menu; 

import android.view.MenuItem; 

import android.view.View; 

import android.widget.TextView; 

import android.widget.Toast; 


public class MainActivity extends FragmentActivity implements Di 
alogListener ( 


private final String BASE URL - "https://www.example.com/pp" 


private final String GET ID URI = BASE URL + "/get id.php"; 

private final String SEND DATA URI = BASE URL + "/send data. 
php"; 

private final String DEL ID URI = BASE URL + "/del id.php"; 


private final String ID_KEY = "id"; 

private final String NICK_NAME_KEY = "nickname"; 

private final String IMEI KEY = "imei"; 

private final String PRIVACY POLICY AGREED KEY - "privacyPol 
icyAgreed"; 

private final String PRIVACY POLICY PREF NAME - "privacypoli 
cy. preference"; 

private String UserId - ""; 

private final int DIALOG TYPE COMPREHENSIVE AGREEMENT - 1; 

private final int VERSION TO SHOW COMPREHENSIVE AGREEMENT AN 
EW = 1; 


private TextWatcher watchHandler = new TextWatcher() { 


QOverride 
public void beforeTextChanged(CharSequence s, int start, 
int count, int after) { 


j 


QOverride 
public void onTextChanged(CharSequence s, int start, int 
before, int count) { 
boolean buttonEnable - (s.length() » 0); 
MainActivity.this.findViewById(R.id.buttonStart).set 
Enabled(buttonEnable); 


} 
@Override 
public void afterTextChanged(Editable s) 1 
} 
}; 
@Override 


protected void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
// Fetch user ID from serverFetch user ID from server 
new GetDataAsyncTask( .execute( ); 
findViewById(R.id.buttonStart).setEnabled(false); 
((TextView) findViewById(R.id.editTextNickname)).addText 

ChangedListener(watchHandler); 


j 


QOverride 
protected void onStart() ( 
super.onStart(); 
SharedPreferences pref - getSharedPreferences(PRIVACY PO 
LICY PREF NAME, MODE PRIVATE); 
int privacyPolicyAgreed - pref.getInt(PRIVACY POLICY AGR 
EED KEY, -1); 
if (privacyPolicyAgreed «- VERSION TO SHOW COMPREHENSIVE 
AGREEMENT ANEW) { 
[7 *** POINT 1 ***-On first. launch (or application u 


pdate), obtain broad consent to transmit user data that will be 
handled by the application. 

// When the application is updated, it is only neces 
sary to renew the user's grant of broad consent if the updated a 
pplication will handle new types of user data. 

ConfirmFragment dialog = ConfirmFragment.newInstance 
(R.string.privacyPolicy, R.string.agreePr 

ivacyPolicy, DIALOG TYPE COMPREHENSIVE AGREEMENT); 

dialog.setDialogListener(this); 

FragmentManager fragmentManager - getSupportFragment 
Manager(); 


} 


dialog.show(fragmentManager, "dialog"); 


j 


public void onSendToServer(View view) ( 

String nickname - ((TextView) findViewById(R.id.editText 
Nickname)).getText().toString(); 

TelephonyManager tm = (TelephonyManager) getSystemServic 
e(TELEPHONY SERVICE); 

String imei - tm.getDeviceId(); 

Toast.makeText(MainActivity.this, this.getClass().getSim 
pleName() + "xn - nickname : " + nickname + ", imei = " + imei, 
Toast.LENGTH SHORT).show(); 

new SendDataAsyncTack().execute(SEND DATA URI, UserId, n 
ickname, imei); 


j 


public void onPositiveButtonClick(int type) { 
if (type == DIALOG TYPE COMPREHENSIVE AGREEMENT) { 

[4 = POINT d 5**0n-tirst Launeh (or application u 
pdate), obtain broad consent to transmit 

user data that will be handled by the application. 

SharedPreferences.Editor pref = getSharedPreferences 
(PRIVACY POLICY PREF NAME, MODE PRIVATE).edit(); 

pref.putInt(PRIVACY POLICY AGREED KEY, getVersionCod 
e()); 

pref.apply(); 


j 


public void onNegativeButtonClick(int type) ( 
if (type == DIALOG TYPE COMPREHENSIVE AGREEMENT) { 
// *** POINT 2 *** If the user does not grant genera 
l consent, do not transmit user data. 
// In this sample application we terminate the appli 
cation in this case. 
finish(); 
} 
} 


private int getVersionCode() { 
int versionCode = -1; 


PackageManager packageManager = this.getPackageManager ( ) 


LEY 
PackageInfo packageInfo = packageManager.getPackageI 


nfo(this.getPackageName(), PackageManager.GET ACTIVITIES); 
versionCode - packageInfo.versionCode; 
) catch (NameNotFoundException e) { 
// This is sample, so omit the exception process 


} 

return versionCode; 
} 
@Override 


public boolean onCreateOptionsMenu(Menu menu) ( 
getMenuInflater().inflate(R.menu.main, menu); 
return true; 


j 


QOverride 
public boolean onOptionsItemSelected(MenuItem item) { 
switch (item.getItemId()) { 
case R.id.action show pp: 
// *** POINT 3 *** Provide methods by which the 
user can review the application privacy policy. 
Intent intent - new Intent(); 
intent.setClass(this, WebViewAssetsActivity.clas 
s); 
startActivity(intent); 
return true; 
case R.id.action del id: 
// *** POINT 4 *** Provide methods by which tran 
smitted data can be deleted by user operation 
S. 
new SendDataAsyncTack().execute(DEL ID URI, User 
Id); 
return true; 
case R.id.action donot send id: 
// *** POINT 5 *** Provide methods by which tran 
smitting data can be stopped by user operations. 
// If the user stop sending data, user consent i 
S deemed to have been revoked. 
SharedPreferences.Editor pref - getSharedPrefere 
nces(PRIVACY POLICY PREF NAME, MODE PRIVATE).edit(); 
pref.putInt(PRIVACY POLICY AGREED KEY, ©); 
pref.apply(); 
// In this sample application if the user data c 
annot be sent by user operations, 
// finish the application because we do nothing. 
String message - getString(R.string.stopSendUser 





Data); 

Toast.makeText(MainActivity.this, this.getClass( 
).getSimpleName() + " - " + message, Toast.L 

ENGTH SHORT).show(); 


finish(); 
return true; 


return false; 


} 


private class GetDataAsyncTask extends AsyncTask<String, Void 
Sl > 


private String extMessage = ""; 


@Override 
protected String doInBackground(String... params) { 
// *** POINT 6 *** Use UUIDs or cookies to keep trac 
k of user data 
// In this sample we use an ID generated on the serv 
er side 
SharedPreferences sp = getSharedPreferences(PRIVACY . 
POLICY PREF NAME, MODE PRIVATE); 
UserId - sp.getString(ID KEY, null); 
if (UserId -- null) ( 
// No token in SharedPreferences; fetch ID from 


server 
ERY 4 
UserId = NetworkUtil.getCookie(GET_ID_URI, "" 
7 "bc 
) catch (IOException e) ( 
// Catch exceptions such as certification er 
rors 


extMessage - e.toString(); 


// Store the fetched ID in SharedPreferences 
sp.edit().putString(ID KEY, UserId).commit(); 


} 
return UserId; 
} 
@Override 
protected void onPostExecute(final String data) { 


String status = (data != null) ? "Success" : "error" 
/ 
Toast.makeText(MainActivity.this, this.getClass().ge 
tsimpleName() + " - "+ status + " : "+ 
extMessage, Toast.LENGTH SHORT).show(); 
} 


} 


private class SendDataAsyncTack extends AsyncTask<String, Vo 
id, Boolean> { 


private String extMessage = ""; 


@Override 


protected Boolean doInBackground(String... params) { 


String url = params[0]; 
String id = params[:i]; 
String nickname = params.length > 2 ? params[2] : nu 


ale 
String imei = params.length > 3 ? params[3] : null; 
Boolean result = false; 
SV 
JSONObject jsonData = new JSONObject(); 
jsonData.put(ID_KEY, id); 
if (nickname != null) 
jsonData.put(NICK NAME KEY, nickname); 
if (imei != null) 
jsonData.put(IMEI KEY, imei); 
NetworkUtil.sendJSON(url, "", jsonData.toString( 
)); 
result = true; 
} catch (IOException e) { 
// Catch exceptions such as certification errors 
extMessage = e.toString(); 
} catch (JSONException e) { 
extMessage = e.toString(); 
} 
return result; 
} 
@Override 
protected void onPostExecute(Boolean result) { 
String status = result ? "Success" : "Error"; 
Toast .makeText(MainActivity.this, this.getClass().ge 
tSimpleName() + " - "+ status + " : "+ 
extMessage, Toast.LENGTH SHORT).show(); 
} 
} 
} 


[rim eee 
ConfirmFragment.java 


package org.jssec.android.privacypolicynopreconfirm; 


import android.app.Activity; 

import android.app.AlertDialog; 

import android.app.Dialog; 

import android.content.Context; 

import android.content.DialogInterface; 
import android.content.Intent; 

import android.os.Bundle; 

import android.support.v4.app.DialogFragment; 
import android.view.LayoutInflater; 


import android.view.View; 
import android.view.View.OnClickListener; 
import android.widget.TextView; 


public class ConfirmFragment extends DialogFragment { 
private DialogListener mListener - null; 


public static interface DialogListener { 
public void onPositiveButtonClick(int type); 
public void onNegativeButtonClick(int type); 


j 


public static ConfirmFragment newInstance(int title, int sen 
tence, int type) 1 
ConfirmFragment fragment = new ConfirmFragment(); 
Bundle args - new Bundle(); 
args.putint("title", title); 
args.putInt("sentence", sentence); 
args.putInt("type", type); 
fragment.setArguments(args); 
return fragment; 


j 


QOverride 
public Dialog onCreateDialog(Bundle args) { 
// *** POINT 1 *** On first launch (or application updat 
e), obtain broad consent to transmit user data that will be hand 
led by the application. 
final int title = getArguments().getInt("title"); 
final int sentence = getArguments().getInt("sentence"); 
final int type = getArguments().getInt("type"); 
LayoutInflater inflater = (LayoutInflater) getActivity() 
.getSystemService(Context.LAYOUT INFLATER SERVICE); 
View content - inflater.inflate(R.layout.fragment comfir 


m, null); 
TextView linkPP - (TextView) content.findViewById(R.id.t 
x_link_pp); 


linkPP.setOnClickListener(new OnClickListener() { 


@Override 
public void onClick(View v) ( 
// *** POINT 3 *** Provide methods by which the 
user can review the application privacy policy. 
Intent intent - new Intent(); 
intent.setClass(getActivity(), WebViewAssetsActi 
vity.class); 
startActivity(intent); 


} 
3); 
AlertDialog.Builder builder - new AlertDialog.Builder(ge 
tActivity()); 
builder.setIcon(R.drawable.ic launcher); 


builder.setTitle(title); 

builder.setMessage(sentence); 

builder.setView(content); 

builder.setPositiveButton(R.string.buttonConsent, new Di 
alogInterface.OnClickListener() { 


public void onClick(DialogInterface dialog, int whic 
hButton) { 
if (mListener !- null) ( 
mListener.onPositiveButtonClick(type); 


} 
} 
DD 


builder.setNegativeButton(R.string.buttonDonotConsent, n 
ew DialogInterface.OnClickListener() { 


public void onClick(DialogInterface dialog, int whic 
hButton) { 
if (mListener !- null) ( 
mListener.onNegativeButtonClick(type); 


} 
} 
3): 


Dialog dialog - builder.create(); 
dialog.setCanceledOnTouchOutside(false); 
return dialog; 


j 


QOverride 
public void onAttach(Activity activity) { 
super.onAttach(activity); 
if (!(activity instanceof DialogListener)) { 
throw new ClassCastException(activity.toString() + " 
must implement DialogListener."); 
j 


mListener - (DialogListener) activity; 


j 


public void setDialogListener(DialogListener listener) 1 
mListener - listener; 


j 


WebViewAssetsActivity.java 


package org.jssec.android.privacypolicynopreconfirm; 


import org.jssec.android.privacypolicynopreconfirm.R; 
import android.app.Activity; 

import android.os.Bundle; 

import android.webkit .WebSettings; 

import android.webkit .WebView; 


public class WebViewAssetsActivity extends Activity { 


// *** POINT 7 *** Place a summary version of the applicatio 
n privacy policy in the assets folder 

private final String ABST PP URL - "file:///android asset/Pr 
ivacyPolicy/app-policy-abst-privacypolicy-1.0.html"; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity webview); 
WebView webView - (WebView) findViewById(R.id.webView); 
WebSettings webSettings - webView.getSettings(); 
webSettings.setAllowFileAccess(false); 
webView.loadUrl(ABST PP URL); 


5.5.1.3 不 需要 广泛 同意 : 包含 应 用 隐私 策略 的 应 用 
要 点 : 


.向 用 户 提 供 查 看 应 用 隐私 策略 的 方法 。 

. 提供 通过 用 户 操 作 删 除 传 输 的 数据 的 方法 。 

. 提供 通过 用 户 操 作 停 止 数据 传输 的 方法 

. 使 用 UUID 或 cookie 来 跟踪 用 户 数据 。 

.将 应 用 隐私 策略 的 摘要 版 本 放置 在 素材 文件 夹 中 。 


aRWDN — 


MainActivity.java 


package org.jssec.android.privacypolicynocomprehensive; 


import java.io.IOException; 

import org.json.JSONException; 

import org.json.JSONObject; 

import android.os.AsyncTask; 

import android.os.Bundle; 

import android.content.Intent; 

import android.content.SharedPreferences; 
import android.support.v4.app.FragmentActivity; 
import android.text.Editable; 

import android.text.TextWatcher; 


import android.view.Menu; 
import android.view.MenuItem; 
import android.view.View; 
import android.widget.TextView; 
import android.widget.Toast; 


public class MainActivity extends FragmentActivity ( 


private static final String BASE URL = "https://www.example. 
com/pp" ; 

private static final String GET ID URI = BASE URL + "/get id 
.php^; 

private static final String SEND DATA URI = BASE URL + "/sen 
d data.php"; 

private static final String DEL ID URI = BASE URL + "/del id 
-php"; 

private static final String ID_KEY = "id"; 

private static final String NICK_NAME_KEY = "nickname"; 

private static final String PRIVACY_POLICY_PREF_NAME = "priv 
acypolicy preference"; 

private String UserId = ""; 


private TextWatcher watchHandler - new TextWatcher() ( 


QOverride 
public void beforeTextChanged(CharSequence s, int start, 
int count. ant after) T 


j 


QOverride 
public void onTextChanged(CharSequence s, int start, int 
before, int count) ( 
boolean buttonEnable - (s.length() » 0); 
MainActivity.this.findViewById(R.id.buttonStart).set 
Enabled(buttonEnable); 


} 
@Override 
public void afterTextChanged(Editable s) ( 
} 
}; 
@Override 


protected void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
// Fetch user ID from serverFetch user ID from server 
new GetDataAsyncTask( .execute( ); 
findViewById(R.id.buttonStart).setEnabled(false); 
((TextView) findViewById(R.id.editTextNickname)).addText 

ChangedListener(watchHandler); 


} 


public void onSendToServer(View view) ( 
String nickname - ((TextView) findViewById(R.id.editText 
Nickname)).getText().toString(); 
Toast.makeText(MainActivity.this, this.getClass().getSim 


pleName() + "Xn - nickname : " + nickname, Toast.LENGTH SHORT).s 
how(); 
new sendDataAsyncTack().execute(SEND DATA URI, UserId, n 
ickname); 
} 
@Override 


public boolean onCreateOptionsMenu(Menu menu) ( 
getMenuInflater().inflate(R.menu.main, menu); 
return true; 


j 


QOverride 
public boolean onOptionsItemSelected(MenuItem item) { 
switch (item.getItemId()) { 
case R.id.action show pp: 
// *** POINT 1 *** Provide methods by which the 
user can review the application privacy policy. 
Intent intent - new Intent(); 
intent.setClass(this, WebViewAssetsActivity.clas 
s); 
startActivity(intent); 
return true; 
case R.id.action del id: 
// *** POINT 2 *** Provide methods by which tran 
smitted data can be deleted by user operations. 
new sendDataAsyncTack().execute(DEL ID URI, User 
Id); 
return true; 
case R.id.action donot send id: 
// *** POINT 3 *** Provide methods by which tran 
smitting data can be stopped by user operations. 
// In this sample application if the user data c 
annot be sent by user operations, 
// finish the application because we do nothing. 
String message - getString(R.string.stopSendUser 





Data); 
Toast.makeText(MainActivity.this, this.getClass( 
).getSimpleName() + " - " + message, Toast.LENGTH SHORT).show( ); 
finish(); 
return true; 
return false; 
} 


private class GetDataAsyncTask extends AsyncTask<String, Void 
Serange e 


private String extMessage = ""; 


@Override 
protected String doInBackground(String... params) { 
// *** POINT 4 *** Use UUIDs or cookies to keep trac 
k of user data 
// In this sample we use an ID generated on the serv 
er side 
SharedPreferences sp = getSharedPreferences(PRIVACY_ 
POLICY PREF NAME, MODE PRIVATE); 
UserId - sp.getString(ID KEY, null); 
if (UserId -- null) ( 
// No token in SharedPreferences; fetch ID from 


server 
try { 
UserId = NetworkUtil.getCookie(GET ID URI, "'" 
: "gays 
) catch (IOException e) ( 
// Catch exceptions such as certification er 
rors 


extMessage - e.toString(); 


} 
// Store the fetched ID in SharedPreferences 


sp.edit().putString(ID KEY, UserId).commit(); 


} 
return UserId; 
} 
QOverride 
protected void onPostExecute(final String data) { 


String status - (data !- null) ? "success" : "error" 
/ 
Toast.makeText(MainActivity.this, this.getClass().ge 
tSimpleName() + " - "+ status + " : "+ 
extMessage, Toast.LENGTH SHORT).show(); 
} 


} 


private class sendDataAsyncTack extends AsyncTask<String, Vo 
id, Boolean> { 


private String extMessage = ""; 
@Override 
protected Boolean doInBackground(String... params) { 


String url = params[0]; 

String id = params[i]; 

String nickname = params.length > 2 ? params[2] : nu 

Tus 

Boolean result - false; 

EY 
JSONObject jsonData - new JSONObject(); 
jsonData.put(ID KEY, id); 
if (nickname !- null) 


jsonData.put(NICK NAME KEY, nickname); 
NetworkUtil.sendJSON(url, "", jsonData.toString( 
)); 
result - true; 
) catch (IOException e) ( 
// Catch exceptions such as certification errors 
extMessage - e.toString(); 
} catch (JSONException e) { 
extMessage = e.toString(); 


} 
return result; 
} 
@Override 
protected void onPostExecute(Boolean result) { 
String status = result ? "Success" : "Error"; 
Toast .makeText(MainActivity.this, this.getClass().ge 
tSimpleName() + " - "+ status + " : "+ 
extMessage, Toast.LENGTH SHORT).show(); 
} 


} 
了 = 


WebViewAssetsActivity.java 


package org.jssec.android.privacypolicynocomprehensive; 


import org.jssec.android.privacypolicynocomprehensive.R; 
import android.app.Activity; 

import android.os.Bundle; 

import android.webkit.WebSettings; 

import android.webkit.WebView; 


public class WebViewAssetsActivity extends Activity { 


// *** POINT 5 *** Place a summary version of the applicatio 
n privacy policy in the assets folder 

private static final String ABST PP URL - "file:///android a 
sset/PrivacyPolicy/app-policy-abst-privacypolicy-1.0.html"; 


QOverride 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity webview); 
WebView webView - (WebView) findViewById(R.id.webView); 
WebSettings webSettings - webView.getSettings(); 
webSettings.setAllowFileAccess(false); 
webView.loadUrl(ABST PP URL); 


5.5.1.4 不 包含 应 用 隐私 策略 的 应 用 


要 点 : 


1. 如 果 你 的 应 用 只 使 用 它 在 设备 中 获取 的 信息 ， 则 不 需要 显示 应 用 隐私 策略 。 
2. 在 市 场 应 用 或 类 似 应 用 的 文档 中 ， 请 注意 应 用 不 会 将 其 获取 的 信息 传输 到 外 


apo 


MainActivity.java 


package org.jssec.android.privacypolicynoinfosent; 


import 
import 
import 
import 
import 
import 
import 
import 
import 
import 
import 
import 
import 


public 


com.google.android.gms.common.ConnectionResult; 
com.google.android.gms.common.GooglePlayServicesClient; 
com.google.android.gms.location.LocationClient; 


android. 
android. 
android. 
android. 
android. 
android. 
android. 
android. 
.Widget.TextView; 
.Widget.Toast; 


android 
android 


location.Location; 

net.Uri; 

os.Bundle; 

content.Intent; 
content.IntentSender; 
support.v4.app.FragmentActivity; 
view.Menu; 

view.View; 


class MainActivity extends FragmentActivity implements Go 
oglePlayServicesClient.ConnectionCallbacks, 
GooglePlayServicesClient.OnConnectionFailedListener { 


private LocationClient mLocationClient - null; 
private final int CONNECTION FAILURE RESOLUTION REQUEST - 257 


QOverride 
protected void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 

mLocationClient - new LocationClient(this, this, this); 


j 


QOverride 

protected void onStart() 1 

super.onStart(); 

// Used to obtain location data 

if (mLocationClient !- null) ( 
mLocationClient.connect(); 


} 


} 


QOverride 
protected void onStop() f 


if (mLocationClient != null) { 
mLocationClient.disconnect(); 


super .onStop(); 
} 


@Override 

public boolean onCreateOptionsMenu(Menu menu) ( 
getMenuInflater().inflate(R.menu.main, menu); 
return uel 


j 


public void onStartMap(View view) { 
// *** POINT 1 *** You do not need to display an applica 
tion privacy policy if your application w 
ill only use the information it obtains within the devic 


e. 
if (mLocationClient !- null && mLocationClient.isConnect 
ed()) 1 
Location currentLocation - mLocationClient.getLastLo 
cation(); 


if (currentLocation !- null) ( 

Intent intent - new Intent(Intent.ACTION VIEW, U 
ri.parse("geo:" + currentLocation.getLatitude() + "," + currentL 
ocation.getLongitude())); 

startActivity(intent); 


} 
} 
} 
@Override 
public void onConnected(Bundle connectionHint) { 
if (mLocationClient != null && mLocationClient.isConnect 
ed()) { 
Location currentLocation = mLocationClient.getLastLo 
cation(); 
if (currentLocation !- null) { 
String locationData = "Latitude ¥t: " + currentL 
ocation.getLatitude() + "¥n¥tLongitude ¥t: " + currentLocation.g 


etLongitude(); 

String text = "Xn" + getString(R.string.your loc 
ation title) + "¥n¥t" + locationData; 

Toast.makeText(MainActivity.this, this.getClass( 
).getSimpleName() + text, Toast.LENGTH SHORT).show( ); 

TextView appText = (TextView) findViewById(R.id. 


appText); 
appText.setText(text); 
} 
} 
} 
@Override 


public void onConnectionFailed(ConnectionResult result) ( 
if (result.hasResolution()) (1 


ET 
result.startResolutionForResult(this, CONNECTION 


. FAILURE RESOLUTION REQUEST); 
) catch (IntentSender.SendIntentException e) ( 
e.printStackTrace(); 
} 


} 


@Override 
public void onDisconnected() { 
mLocationClient = null; 
Toast.makeText(this, "Disconnected. Please re-connect.", 
Toast. LENGTH_SHORT) .show( ); 


} 


ET — 2] 
市 场 上 的 示例 如 下 。 
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Figure 5.5-3 Description on the marketplace 


5.5.2 规则 P 


处 理 隐 私 策略 时 ， 遵 循 以 下 规则 : 


5.5.2.1 将 用 户 数 据 的 传输 限制 为 最 低 需 求 (必需 ) 


将 使 用 数据 传输 到 外 部 服务 器 或 其 他 目标 时 ， 将 传输 限制 在 提供 服务 的 最 低 需 求 。 
特别 是 ， 你 应 该 设计 为 ， 应 用 只 能 访问 这 些 用 户 数据 ， 用 户 可 以 根据 应 用 描述 来 想 
象 它 们 的 使 用 目的 。 


例如 ， 用 户 可 以 想象 ， 它 是 个 警报 应 用 ， 但 不 能 访问 位 置 数据 。 另 一 方面 ， 如 果 警 
报应 用 可 以 根据 用 户 的 位 置 发 出 警报 ， 并 将 其 功能 写 入 应 用 的 描述 中 ， 则 应 用 可 以 
访问 位 置 数 据 。 


在 只 需要 在 应 用 中 访问 信息 的 情况 下 ， 避 免 将 信息 传输 到 外 部 ， 并 采取 其 他 措施 来 
减少 无 意 中 泄 漏 用 户 数 据 的 可 能 性 。 


5.5.2.2 在 首次 加 载 (或 应 用 更 新 ) 时 ， 获 得 广泛 同意 来 传输 需要 
特别 细致 处 理 或 用 户 可 能 难以 更 改 的 用 户 数据 (必需 ) 


如 果 应 用 向 外 部 服务 器 ， 传 输 用 户 可 能 难以 更 改 的 任何 用 户 数据 ， 或 需要 特别 细致 
处 理 的 任何 用 户 数据 ， 则 应 用 必须 在 用 户 开始 使 用 之 前 ， 获 得 用 户 的 预先 同意 ( 选 
择 性 加 入 ) - 通知 用 户 哪些 类 型 的 信息 将 被 发 送 到 服务 器 ， 以 及 是 否 会 涉及 任何 第 
三 方 厂商 。 更 具体 地 说 ， 首 次 启动 时 ， 应 用 应 显示 其 应 用 隐私 政策 并 确认 该 用 户 已 
阅读 并 同意 。 此外， 无 论 何 时 应 用 更 新 ， 通 过 将 新 类 型 的 用 户 数据 传输 到 外 部 服务 
器 ， 它 都 必须 再 次 确认 用 户 已 经 阅读 并 同意 这 些 更 改 。 如 果 用 户 不 同意 ， 应 用 应 该 
终止 或 以 其 他 方式 采取 措施 ， 来 确保 所 有 需要 传输 数据 的 功能 都 被 禁用 。 


这 些 步骤 可 以 确保 ， 用 户 了 解 他 们 在 使 用 应 用 时 如 何 处 理 数据 ， 为 用 户 提 供 安 全 感 
并 增强 他 们 对 应 用 的 信任 。 


MainActivity.java 


protected void onStart() { 
super .onStart(); 


// (some portions omitted) 


if (privacyPolicyAgreed <= VERSION TO SHOW COMPREHENSIVE AGR 
EEMENT ANEW) { 
// *** POINT *** On first launch (or application update) 
, obtain broad consent to transmit user data that will be handle 
d by the application. 
// When the application is updated, it is only necessary 
to renew the user's grant of broad consent if the updated appli 
cation will handle new types of user data. 
ConfirmFragment dialog - ConfirmFragment.newInstance( 
R.string.privacyPolicy, R.string.agreePrivacyPolicy, 
DIALOG TYPE COMPREHENSIVE AGREEMENT); 
dialog.setDialogListener(this); 
FragmentManager fragmentManager - getSupportFragmentMana 


ger(); 
j 


dialog.show(fragmentManager, "dialog"); 


o Show Privacy Policy 


Before using this application, you 
must first read and consent to the 
privacy policy available from the 
link below. After reviewing the 
content of this policy, press 
Consent to consent to the policy or 
Do not consent to reject the policy. 
Pressing the button labeled 


Consent below indicates that you 
have reviewed and consented to 
the content of this privacy policy. 


h riv li 


Do Not Consent Consent 





Figure 5.5-4 Example of broad consent 


5.5.2.3 在 传输 需要 特殊 处 理 的 用 户 数据 之 前 获得 特定 的 同意 ( 必 


向 外 部 服务 器 传输 任何 需要 特别 细致 处 理 的 用 户 数 据 时 ， 除 了 需要 获得 一 般 同 意 之 
外 ， 应 用 必须 获得 用 户 对 每 种 这 类 用 户 数据 (或 涉及 传输 用 户 数据 的 每 个 功能 ) 的 
预先 同意 (选择 性 加 入 ) 。 如 果 用 户 不 同意 ， 则 应 用 不 得 将 相应 的 数据 发 送 到 外 部 
服务 器 。 这 确保 用 户 可 以 更 全 面 地 了 解 应 用 的 功能 〈 及 其 提供 的 服务 ) 和 用 户 对 其 
授予 一 般 同意 的 ， 用 户 数 据 的 传输 之 间 的 关系 ; 同时 ， 应 用 提 厂 商 可 以 基于 更 精确 
的 决策 ， 预 计 获 得 用 户 的 同意 。 


MainActivity.java 


public void onSendToServer(View view) ( 
// *** POINT *** Obtain specific consent before transmitting 
user data that requires particularly delicate handling. 
ConfirmFragment dialog - ConfirmFragment.newInstance(R.strin 
g.sendLocation, R.string.cofi 
rmSendLocation, DIALOG TYPE PRE CONFIRMATION); 
dialog.setDialogListener(this); 
FragmentManager fragmentManager = getSupportFragmentManager ( 


); 
} 


dialog.show(fragmentManager, "dialog"); 





Transmission of location 
data 


This will transmit information on 
your current location to an 
external server. Proceed? 


Do Not Consent Consent 





Figure 5.5-5 Example of specific consent 


5.5.2.4 向 用 户 提供 查看 应 用 隐私 策略 的 方法 【必需 ) 


一 般 来 说 ，Android 应 用 市 场 将 提供 应 用 隐私 策略 的 链接 ， 供 用 户 在 选择 安装 相应 
的 应 用 之 前 进行 复查 。 除 了 支持 此 功能 之 外 ， 应 用 还 需要 提供 一 些 方法 ， 用 户 在 设 
TEREA 用 后 ， 可 以 查看 应 用 隐私 策略 。 特别 重要 的 是 提供 一 些 方法 ， 用 户 可 以 

轻易 复查 应 用 隐私 政策 。 在 同意 的 情况 下 ， 将 用 户 数 据 传输 到 外 部 服务 器 来 协助 用 
户 作 出 适当 决定 。 


MainActivity.java 


@Override 
public boolean onOptionsItemSelected(MenuItem item) { 
switch (item.getItemId()) { 
case R.id.action show pp: 
// *** POINT *** Provide methods by which the user c 
an review the application privacy policy. 
Intent intent - new Intent(); 
intent.setClass(this, WebViewAssetsActivity.class); 
startActivity(intent); 
return true; 


s! Privacy Policy Test Applicat... 






Nickname Show Privacy Policy 


aaaa 
Delete ID 


Stop transmitting ID 


Transmit data to server 


Figure 5.5-6 Context menu to show privacy policy 


5.5.2.5 在 素材 文件 夹 中 放置 应 用 隐私 策略 的 摘要 版 本 (推荐 ) 


将 应 用 隐私 策略 的 摘要 版 本 放 在 素材 文件 夹 中 ， 来 确保 用 户 可 以 按 需 对 其 进行 复 
查 ， 这 是 一 个 不 错 的 主意 。 确保 素材 文件 夹 中 存在 应 用 隐私 策略 ， 不 仅 可 以 让 用 户 
随时 轻松 访问 它 ， 还 可 以 避免 用 户 看 到 由 恶意 第 三 方 准备 的 应 用 隐私 策略 的 伪造 或 
损坏 版 本 的 风险 。 


5.5.2.6 提供 可 以 删除 传输 的 数据 的 方法 ， 以 及 可 以 通过 用 户 操作 
停止 数据 传输 的 方法 (推荐 ) 


提供 根据 用 户 需要 ， 删 除 传 输 到 外 部 服务 器 的 用 户 数据 的 方法 ， 是 一 个 好 主意 。 与 
之 相似 ， 在 应 用 本 身 已 经 在 设备 内 存储 用 户 数 据 (或 其 副本 ) 的 情况 下 ， 向 用 户 提 
供用 于 删除 该 数据 的 方法 是 一 个 好 主意 。 而 且 ， 提 供 可 以 根据 用 户 要 求 停 止 用 户 数 
据 发 送 的 方法 ， 是 一 个 好 主意 。 


这 一 规则 (建议 ) 由 欧盟 推行 的 “被 遗忘 权 ” 编 纂 而 成 ; 更 普遍 的 是 ， 在 未 来 ， 各 种 
提案 将 要 求 进 一 步 加 强 用 户 保 护 其 数据 的 权利 ， 这 看 起 来 很 明显 。 为 此 在 这 些 指导 
方针 中 ， 我 们 建议 提供 删除 用 户 数 据 的 方法 ， 除 非 有 一 些 有 具体 原因 不 能 这 样 做 。 并 
且 ， 停 止 数据 传输 ， 主 要 由 浏览 器 的 对 应 观点 “不 追踪 (否定 追踪 ) "定义 。 


MainActivity.java 


@Override 
public boolean onOptionsItemSelected(MenuItem item) { 
switch (item.getItemId()) ( 
(some portions omitted) 


case R.id.action del id: 
// *** POINT *** Provide methods by which transmitte 
d data can be deleted by user 
operations. 


new SendDataAsyncTack().execute(DEL ID URI, UserId); 
return true: 


5.5.2.7 从 UUID 和 Cookie 中 分 离 设 备 特定 的 ID (推荐 ) 


不 应 通过 与 用 户 数据 绑 定 的 方式 传输 IME! 和 其 他 设备 特定 ID。 事实 上 ， 如 果 一 个 
设备 特定 的 ID 和 一 段 用 户 数 据 被 捆绑 在 一 起 ， 并 发 布 或 泄露 给 公众 - 即使 只 有 一 
次 -随后 也 不 可 能 改变 该 设备 特定 的 ID， 因此 对 于 把 ID 和 用 户 数 据 绑 定 的 服务 器 
来 说 ， 这 是 不 可 能 的 (或 至 少 很 难 ) o 在 这 种 情况 下 ， 最 好 使 用 UUID 或 
cookie ( 即 每 次 基于 随机 数 重新 生成 的 变量 ID) ， 与 用 户 数据 一 起 传输 时 代替 设备 
特定 的 IDD。 这 允许 实现 上 面 讨论 的 “被 遗忘 的 权利 ”的 概念 。 


MainActivity.java 


@Override 
protected String doInBackground(String... params) { 


// *** POINT *** Use UUIDs or cookies to keep track of user 
data 

// In this sample we use an ID generated on the server side 

SharedPreferences sp = getSharedPreferences(PRIVACY_POLICY_P 
REF NAME, MODE PRIVATE); 

UserId - sp.getString(ID KEY, null); 

if (UserId -- null) ( 

// No token in SharedPreferences; fetch ID from server 


try T 
UserId - NetworkUtil.getCookie(GET ID URI, "", "id") 


) catch (IOException e) ( 
// Catch exceptions such as certification errors 
extMessage = e.toString(); 


} 
// Store the fetched ID in SharedPreferences 
sp.edit().putString(ID KEY, UserId).commit(); 


return UserId; 


5.5.2.8 w R1 尔 只 在 设备 内 使 用 用 户 数据 ， 请 通知 用 户 ， 数 据 不 会 
传输 到 外 部 (推荐) 


即使 在 用 户 数 据 只 在 用 户 设备 中 临时 访问 的 情况 下 ， 向 用 户 传达 这 一 事实 也 是 一 个 
好 主意 ， 来 确保 用 户 充 分 和 透明 地 理解 了 应 用 行为 。 更 具体 来 说 ， ， 应 该 告知 用 户 ， 
应 用 访问 的 用 户 数据 只 在 设备 内 用 于 特定 的 目的 ， 不 会 被 存储 或 发 送 。 将 此 内 容 传 
达 给 用 户 的 可 能 方法 ， 包 括 在 应 用 市 场 上 的 应 用 描述 中 指定 它 。 仅 在 设备 中 临时 使 
用 的 信息 ， 不 需要 在 应 用 隐私 策略 中 讨论 。 





JSSEC Application Privacy 








Figure 5.5-7 Description on the marketplace 


5.5.3 高 级 话题 


5.3.3.1 隐私 政策 的 背景 和 上 下 文 


对 于 智能 手机 应 用 获取 用 户 数据 ， 并 向 外 传输 该 数据 的 情况 ， 需 要 准备 并 显示 应 用 
隐私 策略 ， 来 通知 用 户 一 些 详细 信息 ， 例 如 收集 的 数据 类 型 ， 以 及 数据 被 处 理 的 方 
Ko 应 包含 在 应 用 隐私 政策 中 的 内 容 ， 在 JMIC SPI 所 倡导 的 Smartphone Privacy 
Initiative 中 详细 说 明 。 应 用 隐私 策略 的 主要 目标 应 该 是 ， 清 楚 地 声明 应 用 将 访问 的 
用 户 数 据 的 所 有 类 型 ， 数 据 将 用 于 何 种 用 途 ， 数 据 将 存储 在 何 处 以 及 数据 将 发 送 到 
哪里 o 


除了 应 用 隐私 策略 之 外 ， 另 一 个 文档 是 企业 隐私 策略 ， 它 详细 说 明了 公司 从 各 种 应 
用 收集 的 所 有 用 户 数 据 将 如 何 存储 ， 管 理 和 处 置 。 企 业 隐 私 政策 对 应 隐私 政策 ， 传 
统 上 用 于 遵循 日 本 个 人 信息 保护 法 。 


准备 和 展示 隐私 政策 的 适当 方法 的 详细 说 明 ， 以 及 各 种 不 同类 型 的 隐私 政策 所 起 的 
作用 的 讨论 ， 可 参见 文件 "对 JSSEC 智能 手机 创建 和 展示 应 用 隐私 政策 的 讨论 ”， 
可 从 以 下 URL 获得 : http://www.jssec.org/event/20140206/03- 

1_app_policy.pdf (只 有 日 语 ) 。 


5.5.3.2 术语 表 


在 下 表 中 ， 我 们 定义 了 这 些 准 则 中 使 用 的 许多 术语 ; 这 些 定义 摘自 文件 "对 JSSEC 
智能 手机 创建 和 展示 应 用 隐私 政策 的 讨 
论 ”(http://www.jssec.org/event/20140206/03-1_app_policy.pdf) (只 有 日 语 ) 。 


ME 
企业 隐 
私 政策 


应 用 隐 
私 政策 


应 用 隐 
私 政策 
的 摘要 
版 本 


应 用 隐 
私 政策 
的 详细 
版 本 

APA 
于 更 改 
的 用 户 
数据 

用 户 难 
以 更 改 
的 用 户 
数据 


需要 特 
别处 理 
的 用 户 
数据 


描述 


为 保护 个 人 数据 而 定义 的 企业 政策 。 根据 日 本 的 个 人 信息 保护 法 创 
建 。 


特定 于 应 用 的 隐私 策略 。 根据 日 本 内 务 和 通信 部 (MIC) 的 智能 手 
机 隐私 计划 (SPI) 的 指导 原则 创建 。 最 好 提供 摘要 ， 和 包含 容易 
理解 的 解释 的 详细 版 本 。 


一 份 简要 文件 ， 简 要 概述 了 应 用 将 使 用 哪些 用 户 信息 ， 用 于 何 种 目 


的 ， 以 及 这 些 信 息 是 否 会 提供 给 第 三 方 。 


这 是 一 份 详细 的 文件 ， 符 合 智能 手机 隐私 计划 (SPI) 和 日 本 总 务 
A (MIC) 的 智能 手机 隐私 计划 I (SPEI). 规定 的 8 项 内 容 。 


Cookie > UUID ， 以 及 其 他 。 
IMEIs, IMSIs, ICCIDs, MAC 地 址 , OS 生成 的 ID, 以 及 其 他 。 


` 


位 置信 息 ， 地 址 本 ， 电 话 号 码 ， 邮 箱 地 址 ， 以 及 其 他 。 


yw 


密码 学 


m 
O 


领域 ， 术 语 “ 机 密 性 ”*”，“ 完 整 性 "和 “可 用 性 ”用 于 分 析 对 威胁 的 响应 。 这 三 个 术 
指 ， 防 止 第 三 方 查看 私人 数据 的 措施 ， 确 保 用 户 引 用 的 数据 未 被 修改 的 保护 
措施 (或 用 于 检测 何 时 被 伪造 的 技术 ) ， 以 及 用 户 访 问 服 务 和 数据 的 能 力 。 在 设计 
安全 保护 时 ， 所 有 这 三 个 要 素 都 很 重要 。 特 别 是 ， 加 密 技 术 经 常用 于 确保 机 密 性 和 
完整 性 ， 并 且 Android 配备 了 各 种 加 密 功 能 ， 来 允许 应 用 实现 机 密 性 和 完整 性 。 在 
本 节 中 ， 我 们 将 使 用 示例 代码 来 说 明 ，Android 应 用 可 以 安全 地 执行 加 密 和 解密 

(来 确保 机 密 性 ) 和 消息 认证 代码 (MAC) 或 数字 签名 (来 确保 完整 性 ) 的 方法 。 


> 


5.6.1 示例 代码 


针对 特定 用 途 和 条 件 开 发 了 各 种 加 密 方 法 ， 包 括 加 密 和 解密 数据 (来 确保 机 密 性 ) 

和 检测 数据 伪造 (来 确保 完整 性 ) 等 用 例 。 以 下 是 示例 代码 ， 根 据 每 种 技术 的 目的 
分 为 三 大 类 加 密 技 术 。 在 每 种 情况 下 ， 应 该 和 > 选择 适 当 的 
加 蜜 方法 和 密 钥 类 型 。 对 于 需要 更 详细 考虑 的 情况 ， 请 参见 章节 “5.6.3. 1 选择 加 密 
方法 ”。 


在 使 用 加 蜜 技术 设计 实现 之 前 ， 请 务必 阅读 "5.6.3.3 防止 随机 数字 生成 器 中 的 漏洞 
的 措施 ”。 


保护 数据 免 受 第 三 方 窃听 






Need to protect important 
User data 





Encryption will be done on 
the terminal, but decryption will be done 
elsewhere in à safe place 


Encryption / decryption using Encryption / decryption using Encryption / decryption using 
password-based cryptography public-key cryptography shared-key cryptography 


Figure 5.6-1 


检测 第 三 方 所 做 的 数据 伪造 


5.6.1.1 使 用 基于 密码 的 密 钥 的 加 密 和 解密 






Need to protect important 
user data 


No 





Signature verification will be done 
on the terminal, but signing will be done 
elsewhere in a safe place 


Detect data falsification using Detect data falsification using Detect data falsification using 
password-based cryptography public-key cryptography shared-key cryptography 
MAC: Message Authentication Code (digital signatures) (MAC: Message Authentication Code 


Figure 5.6-2 


` 


你 可 以 使 用 基于 密码 的 密 钥 加 密 ， 来 保护 用 户 的 机 密 数 据 资 产 。 
要 点 : 


1. 
2. 


3. 
4. 
5. 


显 式 指定 加 密 模 式 和 填充 。 

使 用 强加 密 技 术 (特别 是 符合 相关 标准 的 技术 ) ， 包 括 算 法 ， 分 组 加 密 模式 和 
填充 模式 。 

从 密码 生成 密 钥 时 ， 使 用 盐 。 

从 密码 生成 密 钥 时 ， 指 定 适 当 的 哈 希 迭代 计数 。 

使 用 足以 保证 加 密 强 度 的 密 钥 长 度 。 


AesCryptoPBEKey.java 


package org.jssec.android.cryptsymmetricpasswordbasedkey; 


import java.security.InvalidAlgorithmParameterException; 
import java.security.InvalidKeyException; 

import java.security.NoSuchAlgorithmException; 
import java.security.SecureRandom; 

import java.security.spec.InvalidKeySpecException; 
import java.util.Arrays; 

import javax.crypto.BadPaddingException; 

import javax.crypto.Cipher; 

import javax.crypto.IllegalBlockSizeException; 
import javax.crypto.NoSuchPaddingException; 

import javax.crypto.SecretKey; 

import javax.crypto.SecretKeyFactory; 

import javax.crypto.spec.IvParameterSpec; 

import javax.crypto.spec.PBEKeySpec; 


5.6.1 示例 代码 


public final class AesCryptoPBEKey { 


// *** POINT 1 *** Explicitly specify the encryption mode an 
d the padding. 

// *** POINT 2 *** Use strong encryption technologies (speci 
fically, technologies that meet the relevant criteria), includin 
g algorithms, block cipher modes, and padding modes. 

// Parameters passed to the getInstance method of the Cipher 

class: Encryption algorithm, block encryption mode, padding rule 


// In this sample, we choose the following parameter values: 
encryption algorithm-AES, block encryption mode=CBC, padding ru 
le-PKCS7Padding 

private static final String TRANSFORMATION - "AES/CBC/PKCS7P 
adding"; 

// A string used to fetch an instance of the class that gene 
rates the key 

private static final String KEY GENERATOR MODE - "PBEWITHSHA 
256AND128BITAES-CBC-BC"; 

// *** POINT 3 *** When generating a key from a password, us 
e Salt. 

// Salt length in bytes 

public static final int SALT LENGTH BYTES - 20; 

// *** POINT 4 *** when generating a key from a password, sp 
ecify an appropriate hash iteration count. 

// Set the number of mixing repetitions used when generating 
keys via PBE 

private static final int KEY GEN ITERATION COUNT - 1024; 

// *** POINT 5 *** Use a key of length sufficient to guarant 
ee the strength of encryption. 

// Key length in bits 

private static final int KEY LENGTH BITS - 128; 

private byte[] mIV = null; 

private byte[] mSalt - null; 


public byte[] getIv() { 
return mIV; 
} 


public byte[] getSalt() { 
return mSalt; 


Jj 
AesCryptoPBEKey(final byte[] iv, final byte[] salt) { 
mIV - iv; 
mSalt = salt; 
J 
AesCryptoPBEKey() ( 
mIV = null; 
initSalt(); 
} 
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private void initSalt() { 
mSalt = new byte[SALT_LENGTH_BYTES]; 
SecureRandom sr = new SecureRandom( ); 
sr.nextBytes(mSalt); 

} 


public final byte[] encrypt(final byte[] plain, final char[] 
password) { 
byte[] encrypted = null; 
tny 
// *** POINT 1 *** Explicitly specify the encryption 
mode and the padding. 
// *** POINT 2 *** Use strong encryption technologie 
S (specifically, technologies that meet the relevant criteria), 
including algorithms, modes, and padding. 
Cipher cipher - Cipher.getInstance(TRANSFORMATION); 
// *** POINT 3 *** when generating keys from passwor 
ds, use Salt. 
SecretKey secretKey - generateKey(password, mSalt); 
cipher.init(Cipher.ENCRYPT MODE, secretKey); 
mIV = cipher.getIV(); 
encrypted = cipher .doFinal(plain); 
) catch (NoSuchAlgorithmException e) { 
) catch (NoSuchPaddingException e) ( 
) catch (InvalidKeyException e) { 
) catch (IllegalBlockSizeException e) { 
) catch (BadPaddingException e) { 
) finally { 
} 
r 


eturn encrypted; 


} 


public final byte[] decrypt(final byte[] encrypted, final ch 
ar[] password) { 
byte[] plain = null; 
try t 
// *** POINT 1 *** Explicitly specify the encryption 
mode and the padding. 
// *** POINT 2 *** Use strong encryption technologie 
S (specifically, technologies that meet the relevant criteria), 
including algorithms, block cipher modes, and padding modes. 
Cipher cipher - Cipher.getInstance(TRANSFORMATION); 
// *** POINT 3 *** When generating a key from a pass 
word, use Salt. 
SecretKey secretKey - generateKey(password, mSalt); 
IvParameterSpec ivParameterSpec - new IvParameterSpe 
c(mIV); 
cipher.init(Cipher.DECRYPT MODE, secretKey, ivParame 
terSpec); 
plain - cipher.doFinal(encrypted); 
) catch (NoSuchAlgorithmException e) { 
) catch (NoSuchPaddingException e) ( 


} catch (InvalidKeyException e) { 

} catch (InvalidAlgorithmParameterException e) { 
} catch (IllegalBlockSizeException e) { 

} catch (BadPaddingException e) { 

} finally 1 

} 

r 


eturn plain; 


} 


private static final SecretKey generateKey(final char[] pass 
word, final byte[] salt) { 
SecretKey secretKey = null; 
PBEKeySpec keySpec = null; 
try { 
// *** POINT 2 *** Use strong encryption technologie 
S (specifically, technologies that meet the relevant criteria), 
including algorithms, block cipher modes, and padding modes. 
// Fetch an instance of the class that generates the 
key 
// In this example, we use a KeyFactory that uses SH 
A256 to generate AES-CBC 128-bit keys. 
SecretKeyFactory secretKeyFactory - SecretKeyFactory 
.getInstance(KEY GENERATOR MODE); 
// *** POINT 3 *** When generating a key from a pass 
word, use Salt. 
// *** POINT 4 *** when generating a key from a pass 
word, specify an appropriate hash iteration count. 
// *** POINT 5 *** Use a key of length sufficient to 
guarantee the strength of encryption. 
keySpec - new PBEKeySpec(password, salt, KEY GEN ITE 
RATION COUNT, KEY LENGTH BITS); 
// Clear password 
Arrays.fill(password, '?'); 
// Generate the key 
secretKey - secretKeyFactory.generateSecret(keySpec) 


) catch (NoSuchAlgorithmException e) { 
) catch (InvalidKeySpecException e) { 
} finally ( 

keySpec.clearPassword(); 


j 


return secretKey; 
E EEZZLLLLL E EL LLELBBELL CC CLEIIIDZEZEZE A 


6.1.2 使 用 公 钥 的 加 密 和 解密 


些 情况 下 ， 数 据 加 密 仅 在 应 用 端 使 用 存储 的 公 M 而 解密 在 单独 安全 
如 服务 器 ) 在 私 钥 下 执行 。 在 这 种 情况 下 ， 可 以 使 用 公 避 Se a 
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X: 


1. 显 式 指定 加 蜜 模式 和 填充 

2. 使 用 强加 密 方法 (特别 是 符合 相关 标准 的 技术 ) ， 包 括 算法 ， 分 组 加 密 模 式 和 
填充 模式 。 

3. 使 用 足以 保证 加 密 强 度 的 密 钥 长 度 。 


RsaCryptoAsymmetricKey.java 


package org.jssec.android.cryptasymmetrickey; 


import java.security.InvalidKeyException; 
import java.security.KeyFactory; 

import java.security.NoSuchAlgorithmException; 
import java.security.PrivateKey; 

import java.security.PublicKey; 

import java.security.interfaces.RSAPublicKey; 
import java.security.spec.InvalidKeySpecException; 
import java.security.spec.PKCS8EncodedKeySpec; 
import java.security.spec.X509EncodedKeySpec; 
import javax.crypto.BadPaddingException; 
import javax.crypto.Cipher; 

import javax.crypto.IllegalBlockSizeException; 
import javax.crypto.NoSuchPaddingException; 


public final class RsaCryptoAsymmetricKey { 


// *** POINT 1 *** Explicitly specify the encryption mode an 
d the padding. 

// *** POINT 2 *** Use strong encryption methods (specifical 
ly, technologies that meet the relevant criteria), including alg 
orithms, block cipher modes, and padding modes.. 

// Parameters passed to getInstance method of the Cipher cla 
ss: Encryption algorithm, block encryption mode, padding rule 

// In this sample, we choose the following parameter values: 

encryption algorithm-RSA, block encryption mode=NONE, padding r 
ule-OAEPPADDING. 

private static final String TRANSFORMATION - "RSA/NONE/OAEPP 
ADDING"; 

// encryption algorithm 

private static final String KEY ALGORITHM - "RSA"; 

// *** POINT 3 *** Use a key of length sufficient to guarant 
ee the strength of encryption. 

// Check the length of the key 

private static final int MIN KEY LENGTH - 2000; 


RsaCryptoAsymmetricKey() { 
} 


public final byte[] encrypt(final byte[] plain, final byte[] 
keyData) { 
byte[] encrypted = null; 


Dro 

if *** POINT 1 *** Explicitly specify the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes.. 

Cipher cipher = Cipher.getInstance(TRANSFORMATION); 

PublicKey publicKey = generatePubKey(keyData); 

if (publicKey != null) { 

cipher.init(Cipher.ENCRYPT MODE, publicKey); 
encrypted - cipher.doFinal(plain); 

} 

} catch (NoSuchAlgorithmException e) { 
} catch (NoSuchPaddingException e) { 
) catch (InvalidKeyException e) { 
) catch (IllegalBlockSizeException e) { 
) catch (BadPaddingException e) { 
+ finally T 

} 

r 


eturn encrypted; 


} 


public final byte[] decrypt(final byte[] encrypted, final by 
te[] keyData) { 

// In general, decryption procedures should be implement 
ed on the server side; 

// however, in this sample code we have implemented decr 
yption processing within the application to ensure confirmation 
of proper execution. 

// When using this sample code in real-world application 
s, be careful not to retain any private keys within the applicat 
ion. 

byte[] plain = null; 

try { 

{7 -** POINT OL *** Explicitly specify the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes.. 

Cipher cipher = Cipher.getInstance( TRANSFORMATION) ; 

PrivateKey privateKey = generatePriKey(keyData); 

cipher.init(Cipher.DECRYPT MODE, privateKey); 

plain - cipher.doFinal(encrypted); 

) catch (NoSuchAlgorithmException e) { 

) catch (NoSuchPaddingException e) ( 

} catch (InvalidKeyException e) { 

} catch (IllegalBlockSizeException e) { 

} catch (BadPaddingException e) { 

minaya 
} 

r 


eturn plain; 


private static final PublicKey generatePubKey(final byte[] k 
eyData) { 
PublicKey publicKey = null; 
KeyFactory keyFactory - null; 
bry 4 
keyFactory = KeyFactory.getInstance(KEY_ALGORITHM) ; 
publicKey = keyFactory.generatePublic(new X509Encode 
dKeySpec(keyData) ); 
catch (IllegalArgumentException e) { 
catch (NoSuchAlgorithmException e) { 
catch (InvalidKeySpecException e) { 
finally { 


Wwe ee 


// *** POINT 3 *** Use a key of length sufficient to gua 
rantee the strength of encryption. 
// Check the length of the key 
if (publicKey instanceof RSAPublicKey) ( 
int len - ((RSAPublicKey) publicKey).getModulus().bi 
tLength(); 
if (len < MIN_KEY_LENGTH) { 
publicKey = null; 
j 


} 


return publicKey; 


} 


private static final PrivateKey generatePriKey(final byte[] 
keyData) ( 

PrivateKey privateKey 
KeyFactory keyFactory 

IE at 
keyFactory 
privateKey 
odedKeySpec(keyData) ); 
} catch (IllegalArgumentException e) { 
) catch (NoSuchAlgorithmException e) { 
) catch (InvalidKeySpecException e) { 
} finally { 
} 
r 


Aue 
null; 


KeyFactory.getInstance(KEY_ALGORITHM); 
keyFactory.generatePrivate(new PKCS8Enc 


eturn privateKey; 


5.6.1.3 使 用 预 共 享 密 钥 的 加 密 和 解密 
预 共 享 密 钥 可 用 于 处 理 大 型 数据 集 ， 或 保护 应 用 或 用 户 资 产 的 机 密 性 。 
要 点 : 


1. 显 式 指定 加 密 模 式 和 填充 
2. 使 用 强加 密 方 法 (特别 是 符合 相关 标准 的 技术 ) ， 包 括 蓝 法 ， 分 组 加 蜜 模式 和 


填充 模式 。 
3. 使 用 足以 保证 加 密 强 度 的 密 钥 长 度 。 


AesCryptoPreSharedKey.java 


package org.jssec.android.cryptsymmetricpresharedkey; 


import java.security.InvalidAlgorithmParameterException; 
import java.security.InvalidKeyException; 

import java.security.NoSuchAlgorithmException; 

import javax.crypto.BadPaddingException; 

import javax.crypto.Cipher; 

import javax.crypto.IllegalBlockSizeException; 

import javax.crypto.NoSuchPaddingException; 

import javax.crypto.SecretKey; 

import javax.crypto.spec.IvParameterSpec; 

import javax.crypto.spec.SecretKeySpec; 


public final class AesCryptoPreSharedKey ( 


// *** POINT 1 *** Explicitly specify the encryption mode an 
d the padding. 

// *** POINT 2 *** Use strong encryption methods (specifical 
ly, technologies that meet the relevant cr 

iteria), including algorithms, block cipher modes, and paddi 
ng modes. 

// Parameters passed to getInstance method of the Cipher cla 
ss: Encryption algorithm, block encryption mode, padding rule 

// In this sample, we choose the following parameter values: 
encryption algorithm-AES, block encryption mode=CBC, padding ru 
le=PKCS7Padding 

private static final String TRANSFORMATION = "AES/CBC/PKCS7P 
adding"; 

// Encryption algorithm 

private static final String KEY_ALGORITHM = "AES"; 

// Length of IV in bytes 

public static final int IV_LENGTH_BYTES = 16; 

// *** POINT 3 *** Use a key of length sufficient to guarant 
ee the strength of encryption 

// Check the length of the key 

private static final int MIN_KEY_LENGTH_BYTES = 16; 

private byte[] mIV = null; 


public byte[] getIv() { 
return mIV; 


} 

AesCryptoPreSharedKey(final byte[] iv) { 
mIV = iv; 

} 


AesCryptoPreSharedKey() { 


} 


public final byte[] encrypt(final byte[] keyData, final byte 
[] plain) { 
byte[] encrypted = null; 
try { 

// *** POINT 1 *** Explicitly specify the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 

Cipher cipher = Cipher.getInstance(TRANSFORMATION) ; 

SecretKey secretKey = generateKey(keyData) ; 

if (secretKey != null) { 

cipher.init(Cipher.ENCRYPT MODE, secretKey); 
mIV = cipher.getIV(); 
encrypted = cipher.doFinal(plain); 
} 
} catch (NoSuchAlgorithmException e) { 
} catch (NoSuchPaddingException e) { 
} catch (InvalidKeyException e) { 
} catch (IllegalBlockSizeException e) { 
} catch (BadPaddingException e) { 
} Finally { 
} 
r 


eturn encrypted; 


} 


public final byte[] decrypt(final byte[] keyData, final byte 
[] encrypted) { 
byte[] plain = null; 
try { 

// *** POINT 1 *** Explicitly specify the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 

Cipher cipher = Cipher .getInstance(TRANSFORMATION); 

SecretKey secretKey = generateKey(keyData); 

if (secretKey != null) { 

IvParameterSpec ivParameterSpec - new IvParamete 
rSpec(mIV); 

cipher.init(Cipher.DECRYPT MODE, secretKey, ivPa 
rameterSpec); 


} 
catch (NoSuchAlgorithmException e) { 


catch (NoSuchPaddingException e) { 

catch (InvalidKeyException e) { 

catch (InvalidAlgorithmParameterException e) { 
catch (IllegalBlockSizeException e) ( 

catch (BadPaddingException e) ( 

finally { 


plain - cipher.doFinal(encrypted); 


WW eee 


} 


return plain; 


} 


private static final SecretKey generateKey(final byte[] keyD 
ata) { 
SecretKey secretKey = null; 
In 
// *** POINT 3 *** Use a key of length sufficient to 
guarantee the strength of encryption 
if (keyData.length »- MIN KEY. LENGTH BYTES) ( 
// *** POINT 2 *** Use strong encryption methods 
(specifically, technologies that meet the relevant criteria), i 
ncluding algorithms, block cipher modes, and padding modes. 
secretKey - new SecretKeySpec(keyData, KEY ALGOR 


ITHM); 
) catch (IllegalArgumentException e) ( 
) finally ( 
} 
return secretKey; 
J 
} 


5.6.1.4 使 用 基于 密码 的 密 钥 来 检测 数据 伪造 


你 可 以 使 用 基于 密码 的 (共享 密 铜 ) 加 密 来 验证 用 户 数据 的 完整 性 。 
要 点 : 


1. 显 式 指 定 加 密 模 式 和 填充 。 

2. 使 用 强加 密 方法 (特别 是 符合 相关 标准 的 技术 ) ， 包 括 算法 ， 分 组 加 密 模 式 和 
填充 模式 。 

3. 从 密码 生成 密 铀 时 ， 使 用 盐 。 

4. 从 密码 生成 密 钥 时 ， 指 定 适当 的 哈 希 迭代 计数 。 

5. 使 用 足以 保证 MAC 强度 的 密 钥 长 度 。 


HmacPBEKey.java 


package org.jssec.android.signsymmetricpasswordbasedkey; 


import java.security.InvalidKeyException; 

import java.security.NoSuchAlgorithmException; 
import java.security.SecureRandom; 

import java.security.spec.InvalidKeySpecException; 
import java.util.Arrays; 

import javax.crypto.Mac; 

import javax.crypto.SecretKey; 

import javax.crypto.SecretKeyFactory; 

import javax.crypto.spec.PBEKeySpec; 


5.6.1 示例 代码 


public final class HmacPBEKey ( 


// *** POINT 1 *** Explicitly specify the encryption mode an 
d the padding. 

// *** POINT 2 *** Use strong encryption methods (specifical 
ly, technologies that meet the relevant criteria), including alg 
orithms, block cipher modes, and padding modes. 

// Parameters passed to the getInstance method of the Mac cl 
ass: Authentication mode 

private static final String TRANSFORMATION - "PBEWITHHMACSHA 
qu 

// A string used to fetch an instance of the class that gene 
rates the key 

private static final String KEY GENERATOR MODE - "PBEWITHHMA 
CSHA1"; 

// *** POINT 3 *** When generating a key from a password, us 
e Salt. 

// Salt length in bytes 

public static final int SALT_LENGTH_BYTES = 20; 

// *** POINT 4 *** When generating a key from a password, sp 
ecify an appropriate hash iteration count. 

// Set the number of mixing repetitions used when generating 

keys via PBE 

private static final int KEY_GEN_ITERATION_COUNT = 1024; 

// *** POINT 5 *** Use a key of length sufficient to guarant 
ee the MAC strength. 

// Key length in bits 

private static final int KEY_LENGTH_BITS = 160; 

private byte[] mSalt = null; 


public byte[] getSalt() { 
return mSalt; 


} 

HmacPBEKey() { 
initSalt(); 

} 


HmacPBEKey(final byte[] salt) { 
mSalt = salt; 
J 


private void initSalt() ( 
mSalt = new byte[SALT. LENGTH BYTES]; 
SecureRandom sr = new SecureRandom(); 
sr.nextBytes(mSalt); 


j 


public final byte[] sign(final byte[] plain, final char[] pa 
ssword) ( 
return calculate(plain, password); 
} 
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5.6.1 示例 代码 


private final byte[] calculate(final byte[] plain, final char 
[] password) { 
byte[] hmac = null; 
EET 

// *** POINT 1 *** Explicitly specify the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 

Mac mac = Mac.getInstance( TRANSFORMATION) ; 

// *** POINT 3 *** When generating a key from a pass 
word, use Salt. 

SecretKey secretKey = generateKey(password, mSalt); 

mac.init(secretKey); 

hmac - mac.doFinal(plain); 

) catch (NoSuchAlgorithmException e) ( 
) catch (InvalidKeyException e) { 

} tinally { 

} 


return hmac; 


} 


public final boolean verify(final byte[] hmac, final byte[] 
plain, final char[] password) { 
byte[] hmacForPlain - calculate(plain, password); 
if (Arrays.equals(hmac, hmacForPlain)) ( 
return true; 


j 


return false; 


j 


private static final SecretKey generateKey(final char[] pass 
word, final byte[] salt) f 
SecretKey secretKey - null; 
PBEKeySpec keySpec - null; 
try 1 
// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 
// Fetch an instance of the class that generates the 
key 
// In this example, we use a KeyFactory that uses SH 
A1 to generate AES-CBC 128-bit keys. 
SecretKeyFactory secretKeyFactory - SecretKeyFactory 
.getInstance(KEY GENERATOR MODE); 
// *** POINT 3 *** when generating a key from a pass 
word, use Salt. 
// *** POINT 4 *** when generating a key from a pass 
word, specify an appropriate hash iteration count. 
// *** POINT 5 *** Use a key of length sufficient to 
guarantee the MAC strength. 
keySpec - new PBEKeySpec(password, salt, KEY GEN ITE 
RATION COUNT, KEY LENGTH BITS); 
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// Clear password 
Arrays.fill(password, 
// Generate the key 
secretKey = secretKeyFactory.generateSecret(keySpec ) 


pu 


) catch (NoSuchAlgorithmException e) { 
} catch (InvalidKeySpecException e) { 
} finally { 

keySpec.clearPassword(); 
} 


return secretKey; 


[IE ij 
5.6.1.5 使 用 公 铀 来 检测 数据 伪造 


所 处 理 的 数据 的 签名 ， 由 存储 在 不 同 的 安全 位 置 (如 服务 器 ) 中 的 私 钥 确 定时 ， 你 
可 以 使 用 公 角 (不 对 称 密 钥 ) 加 密 来 处 理 涉 及 应 用 端 公 铀 存储 的 应 用 ， 出 于 验证 数 
据 签 名 的 目的 。 


X: 


1. BAG E e BRAPIMA o 

2. 使 用 强加 密 方 法 (特别 是 符合 相关 标准 的 技术 ) 
填充 模式 。 

3. 使 用 足以 保证 签名 强度 的 密 负 长 度 。 


， 和 包括 算法 ， 分 组 加 密 模 式 和 


RsaSignAsymmetricKey.java 


package org.jssec.android.signasymmetrickey; 


import java. 


import 
import 
import 
import 
import 
import 
import 
import 
import 
import 


java. 
java. 
java. 


java. 
java. 
java. 
java. 
java. 
java. 
java. 


security. 
security. 
security. 
security. 
security. 
security. 
security. 
security. 
security. 
security. 
security. 


InvalidKeyException; 
KeyFactory; 
NoSuchAlgorithmException; 
PrivateKey; 

PublicKey; 

Signature; 
SignatureException; 
interfaces.RSAPublicKey; 
spec.InvalidKeySpecException; 
spec .PKCS8EncodedKeySpec; 
spec .X509EncodedKeySpec; 


public final class RsaSignAsymmetricKey { 

// *** POINT 1 *** Explicitly specify the encryption mode an 
d the padding. 

// *** POINT 2 *** Use strong encryption methods (specifical 
ly, technologies that meet the relevant criteria), including alg 
orithms, block cipher modes, and padding modes. 


5.6.1 示例 代码 


// Parameters passed to the getInstance method of the Cipher 
class: Encryption algorithm, block encryption mode, padding rule 


// In this sample, we choose the following parameter values: 
encryption algorithm=RSA, block encryption mode=NONE, padding r 
ule=OAEPPADDING. 

private static final String TRANSFORMATION = "SHA256withRSA" 


// encryption algorithm 

private static final String KEY_ALGORITHM = "RSA"; 

// *** POINT 3 *** Use a key of length sufficient to guarant 
ee the signature strength. 

// Check the length of the key 

private static final int MIN_KEY_LENGTH = 2000; 


RsaSignAsymmetricKey() { 
} 


public final byte[] sign(final byte[] plain, final byte[] ke 

yData) { 

// In general, signature procedures should be implemente 
d on the server side; 

// however, in this sample code we have implemented sign 
ature processing within the application to ensure confirmation o 
f proper execution. 

// When using this sample code in real-world application 
s, be careful not to retain any private keys within the applicat 
ION 

byte[] sign = null; 

ty 

/4 *** POINT 2 *** Explicitly specify the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 

Signature signature = Signature.getInstance(TRANSFOR 
MATION); 

PrivateKey privateKey = generatePrikey(keyData) ; 

signature.initSign(privateKey); 

signature.update(plain); 

sign - signature.sign(); 

) catch (NoSuchAlgorithmException e) ( 
} catch (InvalidKeyException e) { 
} catch (SignatureException e) { 
ney 

} 

r 


eturn sign; 


} 


public final boolean verify(final byte[] sign, final byte[] 
plain, final byte[] keyData) { 
boolean ret = false; 
hy 
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ff 5** POINT 1 *** Explucitly specify. the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 

Signature signature - Signature.getInstance(TRANSFOR 
MATION); 

PublicKey publicKey - generatePubKey(keyData); 

signature.initVerify(publicKey); 

signature.update(plain); 

ret = signature.verify(sign); 

) catch (NoSuchAlgorithmException e) { 
} catch (InvalidKeyException e) { 
} catch (SignatureException e) { 
+ finally f 
} 
r 


eturniret, 


} 


private static final PublicKey generatePubKey(final byte[] k 
eyData) ( 
PublicKey publicKey - null; 
KeyFactory keyFactory = null; 
Ey et 
keyFactory = KeyFactory.getInstance(KEY ALGORITHM); 
publicKey - keyFactory.generatePublic(new X509Encode 
dKeySpec(keyData)); 
} catch (IllegalArgumentException e) ( 
) catch (NoSuchAlgorithmException e) { 
) catch (InvalidKeySpecException e) { 
) finally ( 
} 
// *** POINT 3 *** Use a key of length sufficient to gua 
rantee the signature strength. 
// Check the length of the key 
if (publicKey instanceof RSAPublicKey) { 
int len = ((RSAPublicKey) publicKey).getModulus().bi 
tLength(); 
if (len « MIN KEY LENGTH) { 
publicKey - null; 
} 
} 


return publickey; 


} 


private static final PrivateKey generatePrikey(final byte[] 
keyData) { 

PrivateKey privateKey 
KeyFactory keyFactory 

Ey 
keyFactory 
privateKey 
odedKeySpec(keyData) ); 


= null; 

= null; 
KeyFactory.getInstance(KEY_ALGORITHM) ; 
keyFactory.generatePrivate(new PKCS8Enc 


) catch (IllegalArgumentException e) { 
) catch (NoSuchAlgorithmException e) { 
} catch (InvalidKeySpecException e) { 
} finally { 

j 

: 


eturn privateKey; 


5.6.1.6 使 用 预 共 享 密 钥 来 检测 数据 伪造 


你 可 以 使 用 预 共享 密 钥 来 验证 应 用 资产 或 用 户 资产 的 完整 性 。 


要 点 : 
1. 显 式 指定 加 蜜 模式 和 填充 。 
2. 使 用 强加 密 方 法 (特别 是 符合 相关 标准 的 技术 ) ， 包 括 算法 ， 分 组 加 密 模 式 和 
填充 模式 。 
3. 使 用 足以 保证 MAC 强度 的 密 钥 长 度 。 
HmacPreSharedKey.java 


package org.jssec.android.signsymmetricpresharedkey; 


import java.security.InvalidKeyException; 
import java.security.NoSuchAlgorithmException; 
import java.util.Arrays; 

import javax.crypto.Mac; 

import javax.crypto.SecretKey; 

import javax.crypto.spec.SecretKeySpec; 


public final class HmacPreSharedKey { 


d 


// *** POINT 1 *** Explicitly specify the encryption mode an 
the padding. 
// *** POINT 2 *** Use strong encryption methods (specifical 


ly, technologies that meet the relevant criteria), including alg 
orithms, block cipher modes, and padding modes. 


// Parameters passed to the getInstance method of the Mac cl 


ass: Authentication mode 


private static final String TRANSFORMATION - "HmacSHA256"; 
// Encryption algorithm 

private static final String KEY ALGORITHM = "HmacSHA256"; 

// *** POINT 3 *** Use a key of length sufficient to guarant 


ee the MAC strength. 


// Check the length of the key 
private static final int MIN KEY LENGTH BYTES - 16; 


HmacPreSharedKey() { 
} 


public final byte[] sign(final byte[] plain, final byte[] ke 
yData) { 
return calculate(plain, keyData); 
} 


public final byte[] calculate(final byte[] plain, final byte 
[] keyData) { 
byte[] hmac = null; 
toya 

VA >= POINT R ** Expizcitly specify the encryption 

mode and the padding. 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 

Mac mac = Mac.getInstance( TRANSFORMATION) ; 

SecretKey secretKey = generateKey(keyData) ; 

if (secretKey != null) { 

mac.init(secretKey); 
hmac = mac.doFinal(plain); 

} 

} catch (NoSuchAlgorithmException e) { 
} catch (InvalidKeyException e) { 

} finally { 

} 


return hmac; 


} 


public final boolean verify(final byte[] hmac, final byte[] 
plain, final byte[] keyData) { 
byte[] hmacForPlain = calculate(plain, keyData); 
if (hmacForPlain != null && Arrays.equals(hmac, hmacForP 
lain)) { 


} 


return false; 


return true; 


} 


private static final SecretKey generateKey(final byte[] keyD 
ata) { 
SecretKey secretKey = null; 
try { 

// *** POINT 3 *** Use a key of length sufficient to 

guarantee the MAC strength. 

if (keyData.length >= MIN_KEY_LENGTH_BYTES) { 

// *** POINT 2 *** Use strong encryption methods (sp 
ecifically, technologies that meet the relevant criteria), inclu 
ding algorithms, block cipher modes, and padding modes. 

secretKey = new SecretKeySpec(keyData, KEY_ALGORITHM 
); 


} catch (IllegalArgumentException e) { 
T finally t 


} 


return secretKey; 


5.6.2 规则 书 
使 用 加 密 技 术 时 ， 遵 循 以 下 规则 : 


5.6.2.1 指定 加 密 算 法 时 ， 请 显 式 指定 加 密 模 式 和 填充 (必需 ) 


在 使 用 加 密 技 术 和 数据 验证 等 密码 学 技术 时 ， 加 密 模 式 和 卉 充 必 须 显 式 指 定 
Android 应 用 开发 中 使 用 加 密 时 ， 你 将 主要 使 用 java.crypto 中 的 Cipher 类 。 
为 了 使 用 Cipher 类 ， 你 将 首先 通过 指定 要 使 用 的 加 密 类 型 ， 来 创建 Cipher X 
对 象 的 实例 。 这 个 指定 被 称 为 转换 ， 并 且 有 两 种 格式 可 以 指定 转换 : 


e 算法 /模式 /填充 
e 算法 


在 后 一 种 情况 下 ， e BAK A Fo HE HAG TS. 式 设置 为 Android 可 以 访问 的 加 密 服 务 供应 

器 的 适当 默认 值 。 这 些 默认 值 优 先 考虑 便利 性 和 兼容 性 而 选择 ， 并 且 在 某 些 情况 下 
可 能 不 是 特别 安全 的 选择 。 为 此 ， 为 了 确保 正确 的 安全 保护 ， 必 须 使 用 两 种 格式 中 
的 前 者 ， 其 中 显 式 指定 了 加 密 模 式 和 卉 充 。 


5.6.2.2 使 用 强 算法 (特别 是 符合 相关 标准 的 算法 ) (必需 ) 


使 用 加 密 技 术 时 ， 选 择 符 合 特定 标准 的 强 算法 很 重要 。 此 外 ， 在 算法 允许 多 个 密 铀 
长 度 的 情况 下 ， 重 要 的 是 要 考虑 应 用 的 整个 产品 生命 周期 ， A ARR RI 
RAKE o 此外， 对 于 一 些 加 密 模 式 和 填充 模式 ， 存在 已 知 的 攻击 策略 ; 对 这 
威胁 做 出 有 力 的 选择 是 非常 重要 的 。 

确实 ， 选 择 弱 加 密 方 法 会 造成 灾难 性 后 果 。 例 如， 被 加 密 来 防止 第 三 方 窃听 的 文 
件 ， 实 际 上 可 能 仅 受 到 无 效 保护 ， 并 且 可 能 允许 第 三 方 窃听 。 由 于 IT 的 不 断 进步 
导致 加 密 分 析 技 术 的 持续 改进 ， 因 此 至 关 重 要 的 是 ， 考 虑 并 选择 一 个 算法 ， 它 能 够 
在 运行 的 整个 期 间 ， 保 证 安全 性 。 在 此 时 间 ， 你 希望 应 用 保持 运行 。 


实际 加 密 技 术 的 标准 因 国 家 而 异 ， 详 见 下 表 (单位 :位 ) o 
表 5.6-1 NIST(USA) NIST SP800-57 


算法 生 at ARB 非 对 称 密 Ars E] wo HASH (X HASH (随机 


命 周期 48 do 48 Jo 线 加 密 字 签 名 ) 数 生成 ) 
~2010 80 1024 160 160 160 
~2030 112 2048 224 224 160 
2030~ 128 3072 256 256 160 


表 5.6-2 ECRYPT II (EU) 


算法 生命 周期 “对 称 密 钥 加 密 。 非 对 称 密 钥 加 密 。 椭圆 曲线 加 密 — HASH 
2009~2012 80 1248 160 160 
2009~2020 96 1776 192 192 
2009~2030 112 2432 224 224 
2009~2040 128 3248 256 256 
2009~ 256 15424 512 512 
表 5.6-3 CRYPTREC(Japan) CRYPTREC 加 密 算法 列表 
技术 族 名 称 
Mad a£ DSA,ECDSA,RSA-PSS,RSASSA-PKCS1- 
V4 5 

机 密 性 RSA-OAEP 

密 钥 共享 DH,ECDH 
SRE 
ona BAM | 64 位 块 加 密 | 3-key Triple DES 

zd 

128 vr ^ AES,Camellia 

流 式 加 密 KCipher-2 
哈 希 函数 SHA-256,SHA-384,SHA-512 
RAR | diia CBC,CFB,CTR,OFB 

~ WX  CCM,GCM 
3 息 Sy oS a 
x WETS CMAC,HMAC 
实体 认证 ISO/IEC 9798-2,ISO/IEC 9798-3 


5.6.2.3 使 用 基于 密码 的 加 密 时 ， 不 要 在 设备 上 存储 密码 (必需) 


在 基于 密码 的 加 密 中 ， 当 根据 用 户 输 入 的 密码 生成 加 密 密 钥 时 ， 请 勿 将 密码 存储 在 
设备 中 。 基于 密码 的 加 密 的 优点 是 无 需 管 理 加 密 密 钥 ; 将 密码 存储 在 设备 上 消除 了 
这 一 优势 。 无 需 多 说 ， 在 设备 上 存储 密码 会 产生 其 他 应 用 窃听 的 风险 ， 因 此 出 于 安 
全 原因 ， 在 设备 上 存储 密码 也 是 不 可 接受 的 。 


5.6.2.4 从 密码 生成 密 钥 时 ， 使 用 盐 (必需 ) 


在 基于 密码 的 加 密 中 ， 当 根据 用 户 输入 的 密码 生成 加 密 密 钥 时 ， 请 始终 使 用 盐 。 A 
外 ， 如 果 你 要 在 同一 设备 中 为 不 同 用 户 提 供 功能 ， 请 为 每 个 用 户 使 用 不 同 的 盐 。 原 
因 是 ， 如 果 你 仅 使 用 简单 的 哈 希 函数 生成 加 密 密 铀 而 不 使 用 盐 ， 则 可 以 使 用 称 为 “ 彩 
虹 表 "的 技术 轻松 恢复 密码 。 使 用 了 盐 时 ， 会 使 用 相同 的 密码 生成 的 密 钥 将 是 不 同 
的 (不同 的 哈 希 值 ) ， 防 止 使 用 彩虹 表 来 搜索 密 钥 。 


示例 : 


public final byte[] encrypt(final byte[] plain, final char[] pas 
sword) { 
byte[] encrypted = null; 
Ery 
// *** POINT *** Explicitly specify the encryption mode 
and the padding. 
// *** POINT *** Use strong encryption methods (specific 
ally, technologies that meet the relevant criteria), including a 
lgorithms, block cipher modes, and padding modes. 
Cipher cipher = Cipher.getInstance(TRANSFORMATION) ; 
// *** POINT *** When generating keys from passwords, us 
e Salt. 
SecretKey secretKey = generateKey(password, mSalt); 


5.6.2.5 从 密码 生成 密 钥 时 ， 指 定 适 当 的 哈 希 迭代 计数 (必需) 


在 基于 密码 的 加 密 中 ， 当 根据 用 户 输入 的 密码 生成 加 密 密 钥 时 ， 你 需要 选择 在 密 铀 
生成 过 程 (“ 拉 伸 ”) 中 ， 散 列 过 程 的 重复 次 数 ; 指定 足够 大 的 数字 来 确保 安全 性 非 
常 重要 。 一 般 来 说 ，1,000 或 更 大 的 迭代 次 数 是 足够 的 。 如 果 你 使 用 密 钥 来 保护 更 
有 价值 的 资产 ， 请 指定 1,000,000 或 更 高 的 计数 。 由 于 散 列 函数 的 单个 计算 所 需 的 
处 理 时 间 很 少 ， 因 此 攻击 者 可 能 很 容易 进行 爆破 攻击 。 因 此 ， 通 过 使 用 拉 伸 方法 
(其 中 散 列 处 理 重复 多 次 ) ， 我 们 可 以 有 意 确 保 该 过 程 消耗 大 量 时 间 ， 因 此 爆破 攻 
击 的 成 本 更 高 。 请 注意 ， 拉 仲 重复 次 数 也 会 影响 应 用 的 处 理 速 度 ， 因 此 请 谨 懂 选择 
合适 的 值 9 


示例 : 


private static final SecretKey generateKey(final char[] password 
, final byte[] salt) { 

SecretKey secretKey - null; 

PBEKeySpec keySpec - null; 


(Omit) 


// *** POINT *** When generating a key from password, use Sa 
Iker 

// *** POINT *** When generating a key from password, specif 
y an appropriate hash iteration count. 

// *** POINT *** Use a key of length sufficient to guarantee 

the strength of encryption. 

keySpec = new PBEKeySpec (password, salt, KEY GEN ITERATION C 

OUNT, KEY LENGTH BITS); 


5.6.2.6 采取 措施 来 增加 密码 强度 (推荐 ) 


在 基于 密码 的 加 密 中 ， 当 基于 用 户 输入 的 密码 生成 加 密 窗 负 时， 生成 的 窗 铀 的 强度 
受用 户 密码 强度 的 强烈 影响 ， 因 此 值得 采取 措施 来 加 强 从 用 户 那 里 收 到 的 密码 。 例 
如 ， 你 可 以 要 求 密码 长 度 至 少 为 8 个 字符 ， 并 且 包含 多 种 类 型 的 字符 - 可 能 至 少 包 
含 一 个 字母 ， 一 个 数字 和 一 个 符号 。 


5.6.3 高 级 话题 


5.6.3.1 选择 加 唤 方 法 


在 上 面 的 示例 代码 中 ， 我 们 展示 了 三 种 加 密 方 法 的 实现 示例 ， 每 种 加 密 方 法 用 于 加 
密 解 密 以 及 数据 伪造 的 检测 。 你 可 以 使 用 “图 5.6-1 * “A 5.6-2?， 根 据 你 的 应 用 粗 
略 选择 使 用 哪 种 加 蜜 方法 。 另 一 方面 ， 加 蜜 方法 的 更 加 精细 的 选择 ， 需 要 更 详细 地 
比较 各 种 方法 的 特征 。 在 下 面 我 们 考虑 一 些 这 样 的 比较 。 


用 于 加 密 和 解密 的 密码 学 方法 的 比较 


公 角 密码 术 具 有 很 高 的 处 理 成 本 ， 因 此 不 适合 大 规模 数据 处 理 。 但 是 ， 因 为 用 于 加 
BE fe ARSE AQ SEAR] > 所 以 仅仅 在 应 用 侧 处 理 公 钥 ( 即 ， 只 执行 加 密 ) ， 并 且 在 不 
A (安全 ) 位置 执 行 解密 的 情况 下 ， 管 理 密 钥 相对 容易 。 共 享 密 钥 加 密 是 一 种 通用 
的 加 密 方 案 ， 但 限制 很 少 ， 但 在 这 种 情况 下 ， 相 同 的 密 钥 用 于 加 密 和 解密 ， 因 此 有 
必要 将 密 钥 安全 地 存储 在 应 用 中 ， 从 而 使 密 钥 管理 变 得 困难 。 基 于 密码 的 密 钥 系 统 
(基于 密码 的 共享 密 钥 系统 ) 通过 用 户 指定 的 密码 生成 密 钥 ， 避 免 了 在 设备 中 存储 
密 钥 相关 的 密码 的 需求 。 此 方法 用 于 仅仅 保护 用 户 资 产 ， 但 不 保护 应 用 资产 的 应 
用 。 由 于 加 密 强 度 取 决 于 密码 强度 ， 因 此 有 必要 选择 密码 ， 其 复杂 度 与 要 保护 的 资 
产 价值 成 比例 增长 。 请 参阅 "5.6.2.6 采取 措施 来 增加 密码 强度 (推荐 ) ” © 


表 5.6-4 用 于 加 密 和 解密 的 密码 学 方法 的 比较 


条 目 /加 密 方 法 DAA ee 基于 密码 
处 理 大 规模 数 00 iu 
(BKK) OK OK 


保护 应 用 (或 


区 区 > oF 

保护 用 户 资 产 OK OK OK 

取决 于 

ena l EAI PEE PTRA” A 

加 密 强 度 BAT RARE BAK ghee ERE 

Fe 
密 钥 存储 简单 (244 ) 困难 简单 
由 应 用 执行 的 加 密 (解密 在 服务 器 或 。 加 密 和 E Ed 
过 程 其 它 地 方 完成 ) 解密 人 


用 于 检测 数据 伪造 的 密码 学 方法 的 比较 
这 里 的 比较 与 上 面 讨论 的 加 密 和 解密 类 似 ， 除 了 与 数据 大 小 对 应 的 条 目 不 再 相关 。 
表 5.6-5 用 于 检测 数据 伪造 的 密码 学 方法 的 比较 


i dd PY: 共享 密 铀 基于 密码 
保护 应 用 eee 
(或 服务 ) OK OK 
ne 造 ) 
资产 
Ra FP © | OK OK OK 
y 
加 密 强 度 BRT RAKE 取决 于 密 钥 长 度 Ebr e 
困难 ， 请 参 
密 钥 存储 简单 〈 仅 公 铀 ) 考 “5.6.3.4 保护 简单 
8 40" 
gano 签名 验证 (签名 在 服 ite 
ERAS | zaaxcexxz | MACHA | ac teem 
的 过 程 ce LE 


MAC : 消息 认证 代码 


请 注意 ， 这 些 准 则 主要 关注 被 视 为 低级 或 中 级 资产 的 资产 保护 ， 根 据 “3.1.3 资产 分 
类 和 保护 对 策 " 一 节 中 讨论 的 分 类 。 由 于 使 用 加 密 涉 及 的 问题 ， 比 其 他 预防 性 措施 
(如 访问 控制 ) 更 多 ， 如 密 钥 存 储 问 题 ， 因 此 只 有 资产 不 能 在 Android 操作 系统 安 
全 模式 下 有 效 保 护 时 ， 才 应 该 考虑 加 密 。 


5.6.3.2 随机 数 的 生成 


使 用 加 密 技 术 时 ， 选 择 强 加 密 算法 和 加 密 模 式 ， 以 及 足够 长 的 密 铜 ， 来 确保 应 用 和 
服务 处 理 的 数据 的 安全 性 ， 这 非常 重要 。 然而， 即使 所 有 这 些 选 择 都 做 得 适当 ， 当 
形成 安全 协议 关键 的 密 钥 被 泄漏 或 猜测 时 ， 所 使 用 的 算法 所 保证 的 安全 强度 立即 下 
IEA X o 


即使 对 于 在 AES 和 类 似 协 议 下 ， 用 于 共享 密 钥 加 密 的 初始 向 量 〈IV) ， 或 者 用 于 基 
于 密码 的 加 密 的 盐 ， 较 大 偏差 也 可 以 使 第 三 方 轻松 发 起 攻击 ， 从 而 增加 数据 泄漏 或 
污染 的 风险 。 为 了 防止 这 种 情况 ， 有 必要 以 第 三 方 难以 猜测 它们 的 值 的 方式 ， 产 
生 密 钥 和 |V， 而 随机 数 在 确保 这 一 必要 实现 的 方面 ， 起 着 非常 重要 的 作用 。 产生 
随机 数 的 设备 称 为 随机 数 生成 器 。 尽 管 硬件 随机 数 生成 器 (RNG) 可 能 使 用 传 感 
器 或 其 他 设备 ， 通 过 测量 无 法 预测 或 再 现 的 自然 现象 来 产生 随机 数 ， 但 更 常见 的 是 
用 软件 实现 的 随机 数 生成 器 ， 称 为 伪 随 机 数 生成 器 (PRNG) 。 


在 Android 应 用 中 ， 可 以 通过 SecureRandom 类 生成 用 于 加 密 的 足够 安全 的 随机 

数 。 SecureRandom 类 的 功能 由 一 个 称 为 Provider 的 实现 提供 。 多 个 供应 器 
(实现 ) 可 以 在 内 部 存在 ， 并 且 如 果 没 有 明确 指定 供应 器 ， 则 会 选择 默认 供应 器 。 
出 于 这 个 原因 ， 也 可 以 在 不 知道 供应 器 存在 的 情况 下 ， 使 用 SecureRandom 来 实 
现 。 在 下 面 ,我 们 提供 的 例子 演示 了 如 何 使 用 SecureRandom ° 


请 注意 ， 根 据 Android 版 本 的 不 同 ， SecureRandom 可 能 存在 一 些 缺 陷 ， 需 要 在 
实施 中 采取 预防 措施 。 请 参阅 "5.6.3.3 防止 随机 数 生成 器 中 的 漏洞 的 措施 ”。 


使 用 SecureRandom (默认 实现 ) 


import java.security.SecureRandom; 


[...] 
SecureRandom random = new SecureRandom(); 


byte[] randomBuf - new byte [128]; 
random.nextBytes(randomBuf ); 


[...] 


使 用 SecureRandom (明确 的 特定 算法 ) 


import java.security.SecureRandom; 
[...] 
SecureRandom random = SecureRandom.getInstance("SHA1PRNG"); 


byte[] randomBuf = new byte [128]; 
random.nextBytes(randomBuf); 


[...] 


使 用 SecureRandom (明确 的 特定 实现 (供应 器 ) ) 


import java.security.SecureRandom; 
EEA 


SecureRandom random = SecureRandom.getInstance("SHA1PRNG", “Cryp 
TE 

byte[] randomBuf - new byte [128]; 

random.nextBytes(randomBuf ); 


[...] 


程序 中 发 现 的 伪 随 机 数 发 生 器 ， 例 如 SecureRandom ， 通 常 基于 一 些 基本 过 程 来 
操作 ， 如 “图 5.6-3 伪 随 机 数 发 生 器 的 内 部 过 程 "中 所 述 。 输入 一 个 随机 数 种 子 来 初 
始 化 内 部 状态 ; 此 后 ， 每 次 生成 随机 数 时 更 新 内 部 状态 ， 从 而 允许 生成 随机 数 序 
列 o 


随机 数 种 子 


种 子 在 伪 随 机 数 发 生 器 (PRNG) 中 起 着 非常 重要 的 作用 。 如 上 所 述 ，PRNG 必须 
通过 指定 种 子 来 初始 化 。 此 后 ， 用 于 生成 随机 数 的 过 程 是 确定 性 算法 ， 因 此 如 果 指 
定 相 同 的 种 子 ， 则 会 得 到 相同 的 随机 数 序列 。 这 意味 着 如 果 第 三 方 获得 (FERENT) 
或 猜测 PRNG 的 种 子 ， 他 可 以 产生 相同 的 随机 数 序列 ， 从 而 破坏 随机 数 提供 的 机 

密 性 和 完整 性 属性 。 


出 于 这 个 原因 ， 随 机 数 生成 器 的 种 子 本 身 就 是 一 个 高 度 机 密 的 信息 -而且 必 须 以 无 
法 预测 或 猜测 的 方式 来 选择 。 例 如 ， 不 应 使 用 时 间 信 息 或 设备 特定 数据 (例如 
MAC 地 址 ，IMEI 或 Android ID) 来 构建 RNG 种 子 。 在 许多 Android 设备 

上 ， /dev/urandom 或 /dev/random 可 用 ，Android 提供 的 SecureRandom 3X 
认 实 现 使 用 这 些 设 备 文件 ， 来 确定 随机 数 生 成 器 的 种 子 。 就 机 密 性 而 言 ， 只 要 
RNG 种 子 仅 存在 于 内 存 中 ， 除 获得 root 权限 的 恶意 软件 工具 外 ， 几 乎 没有 由 第 三 
方 发 现 的 风险 。 如果 你 需要 实现 ， 即 使 在 已 root 的 设备 上 仍然 有 效 的 安全 措施 ， 
请 咨询 安全 设计 和 实现 方面 的 专家 。 


伪 随 机 数 生 成 器 的 内 部 状态 


伪 随 机 数 发 生 器 的 内 部 状态 由 种 子 初始 化 ， 然 后 在 每 次 生成 随机 数 时 更 新 。 就 像 由 
相同 种 子 初始 化 的 PRNG 一 样 ， 具 有 相同 内 部 状态 的 两 个 PRNG 随后 将 产生 完全 
相同 的 随机 数 序 列 。 因 此 ， 保 护 内 部 状态 免 受 第 三 方 窃 听 也 很 重要 。 但 是 ， 由 于 
内 部 状态 存在 于 内 存 中 ， 除 了 拥有 root 访 问 权 的 恶意 软件 工具 外 ， 几 乎 没有 发 现任 
何 第 三 方 的 风险 。 如 果 你 需要 实现 ， 即 使 在 已 root 的 设备 上 仍然 有 效 的 安全 措 
施 ， 请 咨询 安全 设计 和 实现 方面 的 专家 。 


5.6.3.3 防范 随机 数 生 成 器 中 的 漏洞 的 措施 


在 Android 4.3.x 及 更 早 版 本 中 发 现 ， SecureRandom 的 Crypto 供应 器 实现 拥有 
ARAM (随机 性 ) 不 足 的 缺陷 。 特别 是 在 Android 4.1.x 及 更 早 版 本 

中 ， Crypto 供应 器 是 SecureRandom 的 唯一 可 用 实现 ， 因 此 大 多 数 直 接 或 间接 
使 用 SecureRandom 的 应 用 都 受 此 漏洞 影响 。 同样 ，Android 4.2 和 更 高 版 本 中 ， 
作为 SecureRandom 的 默认 实现 而 提供 的 AndroidOpenSSL 供应 器 拥有 这 个 缺 
陷 ， 由 0penSSL 使 用 的 作为 随机 数 种 子 的 大 部 分 数据 在 应 用 之 间 共 享 (Android 
4.2.x-4.3.x) ， 产 生 了 一 个 漏洞 ， 任 何 应 用 都 可 以 轻松 预测 其 他 应 用 生成 的 随机 
数 。 下 表 详 细 说 明了 各 种 Android OS 版 本 中 存在 的 漏洞 的 影响 。 


表 5.6-6 Android 操 作 系 统 版 本 和 受到 每 个 漏洞 的 影响 的 功能 


Android SecureRandom 的 Crypto 41% 可 以 猜测 其 他 程序 
OS/ 漏 洞 Rz $$ Sc SL 85] A BRAK S IS OpenSSL 所 使 用 的 随机 数 


SecureRandom 的 默认 实 
41x& 现 ，Crypto 供应 器 的 显 式 使 
之 前 用 ， 由 Cipher 类 提供 的 加 窗 

HAE > HTTPS 通信 功能 等 


无 影响 


SecureRandom 的 默认 实现 ， 
Android OpenSSL 供应 器 的 显 


4.2 - 使 用 明确 标识 的 Crypto 供应 式 使 用 > «OpenSSL 提供 的 随机 
4.3.x ES 数 生 成 功能 的 直接 使 用 ， 


由 Cipher 类 提供 的 加 密 功 

能 ，HTTPS 通信 功能 等 
$477. 无 影响 无 影响 
自 2013 年 8 月 以 来 ，Google 已 经 向 其 合作 伙伴 (设备 制造 商 等 )， 分 发 了 用 于 消 
除 这 些 Android 操作 系统 漏洞 的 补丁 。 但 是 ， 与 SecureRandom 相关 的 这 些 漏洞 
影响 了 广泛 的 应 用 ， 和 包括 加 密 功 能 和 HTTPS 通信 功能 ， 并 且 据 推测 许多 设备 仍 未 
修补 。 因此 ， 在 设计 针对 Android 4.3.x 和 更 早 版 本 的 应 用 时 ， 我 们 建议 你 采纳 以 
下 站 点 中 讨论 的 对 策 (实现 ) 。 


http://android-developers.blogspot.jp/2013/08/some-securerandom-thoughts.html 


5.6.3.4 9t 4A TRAP 


使 用 加 密 技 术 来 确保 敏感 数据 的 安全 性 (机密 性 和 完整 性 ) 时 ， 只 要 密 钥 本 身 的 数 
据 内容 是 可 用 的 ， 即 使 最 健壮 的 加 密 算 法 和 密 负 长度 ， 也 不 能 保护 数据 免 受 第 三 方 
攻击 。 出 于 这 个 原因 ， 正 确 处 理 密 钥 是 使 用 加 密 时 需要 考虑 的 最 重要 的 项 目 之 一 。 
当然 ， 根 据 你 尝试 保护 的 资产 的 级 别 ， 正 确 处 理 密 钥 可 能 需要 非常 复杂 的 设计 和 实 
现 技术 ， 这 些 技术 超出 了 本 指南 的 范围 。 在 这 里 ， 我 们 只 能 提供 一 些 基 本 想法 ， 有 
关 安 全 处 理 各 种 应 用 和 密 钥 的 存储 位 置 ; 我 们 的 讨论 没有 扩展 到 特定 的 实现 方法 ， 

并 且 必 要 时 我 们 建议 你 咨询 安全 设计 和 实现 方面 的 专家 。 


首先 ，“ 图 5.6-4 加 密 密 钥 的 位 置 和 保护 它们 的 策略 "， 说 明了 Android 智能 手机 和 
平板 电脑 中 ， 用 于 储存 密 钥 和 相关 用 途 的 各 种 位 置 ， 并 概述 了 保护 它们 的 策略 。 


5.6.3 高 级 话题 
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Figure 5.6-4 Places of encrypt keys and strategies for protecting them. 





TRE 结 了 受 密 钥 保 护 的 资产 的 资产 类 别 ， 以 及 适用 于 各 种 资产 所 有 者 的 保护 策 


略 。 资 产 类 别 的 更 多 信息 ， 请 参阅 “3.1.3 资产 分 类 和 保护 对 策 ”。 
表 5.6-7 资产 分 类 和 保护 对 策 
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混 ia m 
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APK X 混淆 密 钥 数据 。 注 : 要 注意 大 多 数 


件 Java 混淆 工具 ， 例 如 Proguard ° 
不 会 混 消 数据 字符 串 。 


SD FA 

HE x 
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在 下 文中 ， 我 们 讨论 适用 于 存储 密 钥 的 各 个 地 方 的 保护 措施 。 
储存 在 用 户 内 存 中 的 密 铀 


这 里 我 们 考虑 基于 密码 的 加 密 。 从 密码 生成 密 钥 时 ， 密 钥 存 储 位 置 是 用 户 内 存 ， 
此 不 存在 由 于 恶意 软件 而 造成 泄漏 的 危险 。 但 是 ， 根 据 密码 的 强度 ， 可 能 很 容易 重 
现 密 钥 。 出 于 这 个 原因 ， 有 必要 采取 步骤 来 确保 密码 的 强度 ， 类 似 于 让 用 户 指 定 
服务 登录 密码 时 采取 的 步骤 ; 例如 ， 密 码 可 能 受到 UL 的 限制 ， 或 者 可 能 会 使 用 警 
告 消息 。 请 参阅 “5.6.2.6 采取 措施 增加 密码 的 强度 (推荐 ) ”。 当然 ， 当 密码 存储 
在 用 户 用 户 中 时 ， 必 须 记 住 密码 将 被 遗忘 的 可 能 性 。 为 确保 在 忘记 密码 的 情况 下 可 
以 恢复 数据 ， 必 须 将 备份 数据 存储 在 设备 以 外 的 安全 位 置 (例如 服务 器 上 ) 。 


储存 在 应 用 目录 中 的 密 铀 


当 窗 铀 以 私有 模式 ， 存 储 在 应 用 目录 中 时 ， 窗 负数 据 不 能 被 其 他 应 用 读 取 。 另外 ， 
如 果 应 用 禁用 备份 功能 ， 用 户 也 将 无 法 访问 数据 。 因 此 ， 当 存储 用 于 保护 应 用 资产 
的 密 角 时， 应 该 禁用 备份 。 


但 是 ， 如 果 你 还 需要 针对 使 用 root 权限 的 应 用 或 用 户 保护 密 钥 ， 则 必须 对 密 钥 进行 
加 密 或 混淆 。 对 于 用 于 保护 用 户 资 产 的 密 钥 ， 你 可 以 使 用 基于 密码 的 加 审 。 对 于 
用 于 加 密 应 用 资产 的 密 铀 ， 你 布 望 这 些 资 产 对 于 用 户 是 不 可 见 的 ， 你 必须 将 用 于 资 
产 加 密 的 密 钥 存储 在 APK 文件 中 ， 并 且 必 须 对 密 钥 数据 进行 混淆 处 理 。 


储存 在 APK 文件 中 的 密 铀 


由 于 可 以 访问 APK 文 件 中 的 数据 ， 因 此 通常 这 不 适合 存储 机 密 数 据 (BA) o 在 
APK 文件 中 存储 密 钥 时 ， 你 必须 对 密 钥 数据 进行 混淆 处 理 ， 并 采取 措施 确保 数据 无 
法 轻易 从 APK 文件 中 读 取 。 


储存 在 公共 存储 位 置 (例如 SDE) HRA 


由 于 公共 存储 可 以 被 所 有 应 用 访问 ， 因 此 通常 它 不 适合 存储 机 密 数 据 (如 密码 ) o 
将 密 钥 存储 在 公共 位 置 时 ， 需 要 对 密 钥 数据 进行 加 密 或 混淆 处 理 ， 来 确保 无 法 轻易 
访问 数据 。 另 请 参阅 上 面 的 存储 在 应 用 目录 中 的 密 铀 "中 提出 的 保护 措施 ， 来 了 解 
还 必须 针对 具有 root 权限 的 应 用 或 用 户 来 保护 密 钥 。 


在 进程 内 存 中 处 理 窖 铀 


使 用 Android 中 可 用 的 加 密 技 术 时 ， 必 须 在 加 密 过 程 之 前 ， 在 上 图 中 所 示 的 应 用 进 
程 以 外 的 地 方 ， 对 加 密 或 混淆 的 密 钥 数据 进行 解密 (或 者 ， 对 于 基于 密码 的 密 钥 ， 
则 需要 生成 密 钥 ) 。 在 这 种 情况 下 ， 密 钥 数 据 将 以 未 加 密 的 形式 驻 留 在 进程 内 存 

中 。 另 一 方面 ， 应 用 的 内 存 通 常 不 会 被 其 他 应 用 读 取 ， 因 此 如 果 资 产 类 别 位 于 这 些 
准则 涵盖 的 范围 内 ， 则 没有 采取 特定 步骤 来 确保 安全 性 的 特别 需求 。 在 密 钥 数据 以 
未 加 密 的 形式 出 现 (即使 它们 以 这 种 方式 存在 于 进程 内 存 中 ) 是 不 可 接受 的 的 情况 
下 ， 由 于 特定 目标 或 由 应 用 处 理 的 资产 级 别 ， 可 能 有 必要 对 密 钥 数据 和 加 密 逻 辑 ， 
采取 混淆 处 理 或 其 他 技术 。 但 是 ， 这 些 方法 在 Java 层面 上 难以 实现 ; 相反 ， 你 将 
在 JNI 层面 上 使 用 混淆 工具 。 这 些 措施 不 在 本 准则 的 范围 之 内 ; 咨询 安全 设计 和 实 
现 方面 的 专家 。 


5.6.3.5 通过 Google Play 服务 解决 安全 供应 器 的 漏洞 


Google Play 服务 (5.0 和 更 高 版 本 ) 提供 了 一 个 称 为 供应 器 安装 器 的 框架 ， 可 用 于 
解决 安全 供应 器 中 的 漏洞 。 


首先 ， 安 全 提供 应 器 提供 了 基于 Java 密码 体系 结构 (SCA) 的 各 种 加 密 相 关 的 算 
法 的 实现 。 这 些 安全 供应 器 算法 可 以 通过 诸如 Cipher ， Signature 和 Mac 等 
类 来 使 用 ， 来 在 Android 应 用 中 使 用 加 密 技术 。 一 般 来 说 ， 只 要 在 加 密 技术 相关 的 
实现 中 发 现 漏洞 ， 就 需要 快速 响应 。 事实 上 ， 以 恶意 目的 利用 这 些 漏洞 可 能 会 导致 
严重 损害 。 由 于 加 密 技 术 也 与 安全 供应 器 相关 ， 所 以 希望 用 于 解决 漏洞 的 修订 越 快 
越 好 。 

执行 安全 供应 器 修订 的 最 常见 方法 是 使 用 设备 更 新 。 通 过 设备 更 新 执行 修订 的 过 
程 ， 起 始 于 设备 制造 商 准 备 更 新 ， 之 后 用 户 将 此 更 新 应 用 于 其 设备 。 因 此 ， 应 用 是 
否 可 以 访问 安全 供应 器 的 最 新 版 本 (包括 最 新 版 本 ) ， 实 际 上 取决 于 制造 商 和 用 户 
的 遵从 性 。 相 反 ， 使 用 来 自 Google Play 服务 的 供应 器 安装 器 ， 可 确保 应 用 可 以 访 
问 自动 更 新 的 安全 供应 器 版 本 。 


E coa us re d cM 
访问 由 Google Play 服务 提供 的 器 。 Google Play 服务 会 通过 Google 
Play 商店 自动 更 新 ， 因 此 供应 器 安装 器 所 提供 的 安全 供应 器 ， 将 自动 更 新 到 最 新 版 
本 ， 而 不 依赖 制造 商 或 用 户 的 遵从 性 o 


调用 供应 器 安装 器 的 示例 代码 如 下 所 示 。 
调用 供应 器 安装 器 


中 


import com.google.android.gms.common.GooglePlayServicesUtil; 
import com.google.android.gms.security.ProviderInstaller; 


public class MainActivity extends Activity 
implements ProviderInstaller.ProviderInstallListener { 


@Override 

protected void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
ProviderInstaller.installlIfNeededAsync(this, this); 
setContentView(R.layout.activity main); 


j 


QOverride 
public void onProviderInstalled() { 


// Called when Security Provider is the latest version, 
or when installation completes 


j 


@Override 


public void onProviderInstallFailed(int errorCode, Intent re 
coveryIntent) ( 


GoogleApiAvailability.getInstance().showErrorNotificatio 
n(this, errorCode); 


} 
} 


5.7 使 用 指纹 认证 功能 


目前 正在 研究 和 开发 的 各 种 用 于 生物 认证 的 方法 中 ， 使 用 面部 信息 和 声音 特征 的 方 
法 尤其 突出 。 在 这 些 方法 中 ， 使 用 指纹 认证 来 识别 个 体 的 方法 自古 以 来 就 有 所 使 

用 ， 并 且 今 天 被 用 于 签名 (通过 拇指 印 ) 和 犯罪 调查 等 目的 。 指 纹 识别 的 应 用 也 在 
计算 机 世界 的 几 个 领域 中 得 到 了 发 展 ， 并 且 近 年 来 ， 这 些 方法 已 经 开始 作为 高 度 便 
利 的 技术 (提供 诸如 易于 输入 的 优点 ) 而 享有 广泛 认可 ， 用 于 一 些 领域 ， 例 如 识别 
智能 手机 的 物 主 (主要 用 于 解锁 屏幕 ) 。 

在 这 些 趋 势 下 ，Android 6.0 (API Level 23) 在 终端 上 整合 了 指纹 认证 框架 ， 允 许 


应 用 使 用 指纹 认证 功能 来 识别 个 人 身份 。 在 下 面 我 们 将 讨论 一 些 使 用 指纹 认证 时 要 
记 住 的 安全 预防 措施 。 


5.7.1 示例 代码 
下 面 我 们 提供 示例 代码 ， 来 允许 应 用 使 用 Android 的 指纹 认证 功能 。 
X: 


1. 声明 使 用 USE FINGERPRINT 权限 

2. 从 AndroidKeyStore 供应 器 获取 实例 

3. 通知 用 户 需要 指纹 注册 才能 创建 密 铀 

4. 创建 (注册 ) 密 钥 时 ， 请 使 用 没有 汤 洞 的 加 密 算 法 (符合 标准 ) 

5. 创建 (注册 ) BAN > BAP (指纹 ) 认证 请 求 ( 不 要 指定 启用 认证 的 持续 
时 间 ) 

6. 设计 你 的 应 用 的 前 提 是 ， 指 纹 注 册 的 状态 将 在 密 铀 创建 和 使 用 密 钥 期 间 发 生变 
化 


7. 将 加 密 数 据 限 制 为 ， 可 通过 指纹 认证 以 外 的 方法 恢复 (替换 ) 的 项 东西 


MainActivity.java 


package authentication.fingerprint.android.jssec.org.fingerprint 
authentication; 


import android.app.AlertDialog; 

import android.hardware.fingerprint.FingerprintManager; 
import android.os.Bundle; 

import android.support.v7.app.AppCompatActivity; 
import android.util.Base64; 

import android.view.View; 

import android.widget.Button; 

import android.widget.TextView; 

import java.text.SimpleDateFormat; 

import java.util.Date; 

import javax.crypto.BadPaddingException; 

import javax.crypto.Cipher; 

import javax.crypto.IllegalBlockSizeException; 


public class MainActivity extends AppCompatActivity { 
private FingerprintAuthentication mFingerprintAuthentication 


private static final String SENSITIVE_DATA = "sensitive data" 


@Override 
protected void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 
mFingerprintAuthentication - new FingerprintAuthenticati 
on(this); 
Button button fingerprint auth = (Button) findViewById(R 
.id.button fingerprint auth); 
button fingerprint auth.setOnClickListener(new View.OnCl 
ickListener() { 


QOverride 
public void onClick(View v) ( 
if (!mFingerprintAuthentication.isAuthenticating 


()) { 
if (authenticateByFingerprint()) { 
showEncryptedData(null); 
setAuthenticationState(true); 
} 
} else { 
mFingerprintAuthentication.cancel(); 
} 
} 
}); 
} 


private boolean authenticateByFingerprint() { 
if (!mFingerprintAuthentication.isFingerprintHardwareDet 
ected()) { 
// Terminal is not equipped with a fingerprint sensor 


return false; 
} 
if (!mFingerprintAuthentication.isFingerprintAuthAvailab 
le()) { 
// *** POINT 3 *** Notify users that fingerprint reg 
istration will be required to create a key 
new AlertDialog.Builder(this) 
.setTitle(R.string.app name) 
.setMessage("No fingerprint information has been 
registered.¥n" + 
"Click ¥"Security¥" on the Settings menu to 
register fingerprints. xn" + 
"Registering fingerprints allows easy authen 
tication.") 
.SetPositiveButton("OK", null) 


. Show( ); 
return false; 


// Callback that receives the results of fingerprint aut 
hentication 

FingerprintManager.AuthenticationCallback callback - new 
FingerprintManager.AuthenticationCallback() { 


QOverride 
public void onAuthenticationError(int errorCode, Cha 
rSequence errString) 1 
showMessage(errString, R.color.colorError); 
reset(); 


j 


QOverride 
public void onAuthenticationHelp(int helpCode, Chars 
equence helpString) ( 
showMessage(helpString, R.color.colorHelp); 
} 


@Override 
public void onAuthenticationSucceeded(FingerprintMan 
ager .AuthenticationResult result) { 
Cipher cipher = result.getCryptoObject().getCiph 
er(); 


try { 
// *** POINT 7*** Restrict encrypted data to 
items that can be restored (replaced) by methods other than fin 
gerprint authentication 
byte[] encrypted = cipher.doFinal(SENSITIVE 
DATA.getBytes()); 
showEncryptedData(encrypted); 


) catch (IllegalBlockSizeException | BadPaddingE 


j 


showMessage(getString(R.string.fingerprint auth 
succeeded), R.color.colorAuthenticated); 
reset(); 
} 


@Override 
public void onAuthenticationFailed() { 
showMessage(getString(R.string.fingerprint_auth 
failed), R.color.colorError); 
} 
}; 


if (mFingerprintAuthentication.startAuthentication(callb 


xception e) { 


ack)) { 

showMessage(getString(R.string.fingerprint_processin 
g), R.color.colorNormal); 

return true; 


return false; 


} 


private void setAuthenticationState(boolean authenticating) 


{ 

Button button = (Button) findViewById(R.id.button finger 
print auth); 

button.setText(authenticating ? R.string.cancel : R.stri 
ng.authenticate); 


j 


private void showEncryptedData(byte[] encrypted) ( 
TextView textView - (TextView) findViewById(R.id.encrypt 
edData); 
if (encrypted !- null) ( 
textView.setText(Base64.encodeToString(encrypted, 9) 
); 
) else { 
textView.setText(""); 
} 
} 


private String getCurrentTimeString() { 
long currentTimeMillis = System.currentTimeMillis(); 
Date date = new Date(currentTimeMillis); 
SimpleDateFormat simpleDateFormat = new SimpleDateFormat ( 
"HH:mm:ss.SSS"); 
return simpleDateFormat.format(date); 
} 


private void showMessage(CharSequence msg, int colorId) { 
TextView textView - (TextView) findViewById(R.id.textVie 


w); 
textView.setText(getCurrentTimeString() + " :¥n" + msg); 
textView.setTextColor(getResources().getColor(colorId, n 
üll)3 
} 
private void reset() { 
setAuthenticationState(false); 
} 
} 


Ki mcg) 
FingerprintAuthentication.java 


package authentication.fingerprint.android.jssec.org.fingerprint 
authentication; 


import android.app.KeyguardManager; 
import android.content.Context; 
import android.hardware.fingerprint.FingerprintManager; 


import android.os.CancellationSignal; 

import android.security.keystore.KeyGenParameterSpec; 
import android.security.keystore.KeyInfo; 

import android.security.keystore.KeyPermanentlyInvalidatedExcept 
ion; 

import android.security.keystore.KeyProperties; 
import java.io.IOException; 

import java.security.InvalidAlgorithmParameterException; 
import java.security.InvalidKeyException; 

import java.security.KeyStore; 

import java.security.KeyStoreException; 

import java.security.NoSuchAlgorithmException; 

import java.security.NoSuchProviderException; 

import java.security.UnrecoverableKeyException; 
import java.security.cert.CertificateException; 
import java.security.spec.InvalidKeySpecException; 
import javax.crypto.Cipher; 

import javax.crypto.KeyGenerator; 

import javax.crypto.NoSuchPaddingException; 

import javax.crypto.SecretKey; 

import javax.crypto.SecretKeyFactory; 


public class FingerprintAuthentication { 


private static final String KEY NAME - "KeyForFingerprintAut 
hentication"; 
private static final String PROVIDER NAME - "AndroidKeyStore" 


private KeyguardManager mKeyguardManager; 
private FingerprintManager mFingerprintManager; 
private CancellationSignal mCancellationSignal; 
private KeyStore mKeyStore; 

private KeyGenerator mKeyGenerator; 

private Cipher mCipher; 


public FingerprintAuthentication(Context context) { 
mKeyguardManager = (KeyguardManager) context.getSystemSe 
rvice(Context.KEYGUARD SERVICE); 
mFingerprintManager - (FingerprintManager) context.getSy 
stemService(Context.FINGERPRINT SERVICE 
); 
reset(); 


j 


public boolean startAuthentication(final FingerprintManager. 
AuthenticationCallback callback) ( 
if (!generateAndStoreKey()) 
return false; 
if (!initializeCipherObject()) 
return false; 
FingerprintManager.CryptoObject cryptoObject - new Finge 
rprintManager.CryptoObject(mCipher); 
mCancellationSignal - new CancellationSignal(); 


// Callback to receive the results of fingerprint authen 
tication 

FingerprintManager .AuthenticationCallback hook = new Fin 
gerprintManager .AuthenticationCallback() { 


@Override 
public void onAuthenticationError(int errorCode, Cha 
rSequence errString) { 
if (callback != null) 
callback.onAuthenticationError(errorCode, er 
rString); 
reset(); 


} 


@Override 
public void onAuthenticationHelp(int helpCode, Chars 
equence helpString) 1 
if (callback !- null) 
callback.onAuthenticationHelp(helpCode, help 
String); 


j 


QOverride 
public void onAuthenticationSucceeded(FingerprintMan 
ager.AuthenticationResult result) { 
if (callback !- null) 
callback.onAuthenticationSucceeded(result); 
reset(); 


j 


QOverride 
public void onAuthenticationFailed() { 
if (callback !- null) 
callback.onAuthenticationFailed(); 

} 
J; 
// Execute fingerprint authentication 
mFingerprintManager.authenticate(cryptoObject, mCancella 

tionSignal, 0, hook, null); 

return true; 


} 
public boolean isAuthenticating() { 
return mCancellationSignal != null && !mCancellationSign 
al.isCanceled(); 
} 


public void cancel() { 
if (mCancellationSignal != null) { 
if (!mCancellationSignal.isCanceled() ) 


mCancellationSignal.cancel(); 


} 


private void reset() 1 
ery 
// *** POINT 2 *** Obtain an instance from the "Andr 
oidKeyStore" Provider 
mKeyStore = KeyStore.getInstance(PROVIDER_NAME); 
mKeyGenerator = KeyGenerator .getInstance(KeyProperti 
es.KEY_ALGORITHM_AES, PROVIDER_NAME); 
mCipher = Cipher.getInstance(KeyProperties.KEY ALGOR 
ITHM_AES 
+ "/" + KeyProperties.BLOCK MODE CBC 
+ "/" + KeyProperties.ENCRYPTION PADDING PKCS7); 
) catch (KeyStoreException | NoSuchPaddingException 
| NosuchAlgorithmException | NoSuchProviderException 
e) { 
throw new RuntimeException("failed to get cipher ins 
tances", e); 


mCancellationSignal = null; 


} 


public boolean isFingerprintAuthAvailable() { 
return (mKeyguardManager .isKeyguardSecure( ) 
&& mFingerprintManager.hasEnrolledFingerprints()) ? 
true : false; 


} 


public boolean isFingerprintHardwareDetected() { 
return mFingerprintManager.isHardwareDetected(); 
} 


private boolean generateAndStoreKey() { 
tayi 
mKeyStore.load(null); 
if (mKeyStore.containsAlias(KEY NAME)) 
mKeyStore.deleteEntry(KEY NAME); 
mKeyGenerator.init( 
// *** POINT 4 *** When creating (registering) k 
eys, use an encryption algorithm that is not vulnerable (meets s 
tandards) 
new KeyGenParameterSpec.Builder(KEY NAME, KeyPro 
perties.PURPOSE ENCRYPT) 
.setBlockModes(KeyProperties.BLOCK MODE CBC) 
.setEncryptionPaddings(KeyProperties.ENCRYPT 
ION PADDING PKCS7) 
// *** POINT 5 *** When creating (registering) k 
eys, enable requests for user (fingerprint) authentication (do n 
ot specify the duration over which authentication is enabled) 
. setUserAuthenticationRequired(true) 
.build()); 
// Generate a key and store it in Keystore(AndroidKe 
yStore) 


mKeyGenerator.generateKey(); 
return true; 
} catch (IllegalStateException e) { 
return false; 
) catch (NoSuchAlgorithmException | InvalidAlgorithmPara 
meterException 
| CertificateException | KeyStoreException | IOExcep 
tion e) { 
throw new RuntimeException("failed to generate a key" 


z ENG 
} 


private boolean initializeCipherObject() { 
enyi 
mKeyStore.load(null); 
SecretKey key - (SecretKey) mKeyStore.getKey(KEY NAM 
By DU 

SecretKeyFactory factory = SecretKeyFactory.getInsta 

nce(KeyProperties.KEY ALGORITHM AES, PROVIDER NAME); 

KeyInfo info - (KeyInfo) factory.getKeySpec(key, Key 

Info.class); 

mCipher.init(Cipher.ENCRYPT MODE, key); 

return true; 
) catch (KeyPermanentlyInvalidatedException e) { 

// *** POINT 6 *** pesign your app on the assumption 
that the status of fingerprint registration will change between 
when keys are created and when keys are used 

return false; 

} catch (KeyStoreException | CertificateException 
| UnrecoverableKeyException | IOException 
| NoSuchAlgorithmException | InvalidKeySpecException 


| NoSuchProviderException | InvalidKeyException e) { 
throw new RuntimeException("failed to init Cipher", 


AndroidManifest.xml 


<?xml version="1.0" encoding="utf-8"?> 
<manifest xmlns:android="http://schemas.android.com/apk/res/andr 
OAN 
package="authentication.fingerprint.android.jssec.org.finger 
printauthentication" > 
<!-- +++ POINT 1 *** Declare the use of the USE_FINGERPRINT 
permission --> 
<uses-permission android:name="android.permission.USE_FINGER 
PRINT" /> 
<application 
android: allowBackup="true" 
android:icon-z"Qmipmap/ic launcher" 
android: label="@string/app_name" 
android: supportsRtl="true" 
android: theme="@style/AppTheme" > 
<activity 
android: name=".MainActivity" 
android: screenOrientation="portrait" > 
<intent-filter> 
«action android: name="android.intent.action.MAIN" 
/> 
<category android:name="android.intent.category. 
LAUNCHER" /> 
«/intent-filter- 
«/activity» 
«/application» 
</manifest> 


[E A] 
5.7.2 规则 3 

使 用 指纹 认证 的 时 候 ， 遵 循 下 列 规则 : 

5.7.2.1 创建 (注册) 密 钥 时 ， 请 使 用 没有 汤 洞 的 加 密 算 法 (符合 
标准 ) (必需 ) 

与 "5.6 使 用 密码 学 "中 讨论 的 密码 密 钥 和 公 密 一 样 ， 使 用 指纹 认证 功能 来 创建 密 负 
时 ， 必 须 使 用 没有 漏洞 的 加 密 算 法 - 即 符合 某 些 标准 的 算法 ， 来 防止 第 三 方 的 穷 
听 。 事 实 上 ， 安 全 和 没有 漏洞 的 选择 不 仅 适 用 于 加 密 算 法 ， 而 且 适 用 于 加 密 模 式 和 
填充 。 

算法 选择 的 更 多 信息 ， 请 参见 “5.6.2.2 使 用 强 算法 (特别 是 符合 相关 标准 的 算法 ) 
(必需 ) "部 分 。 


5.7.2.2 将 加 密 数 据 限制 为 ， 可 通过 指纹 认证 以 外 的 方法 恢复 GR 
换 ) 的 东西 (必需 ) 


当 应 用 使 用 指纹 认证 功能 ， 对 应 用 中 的 数据 进行 加 密 时 ， 应 用 的 设计 必须 允许 通过 
指纹 认证 以 外 的 方法 恢复 (替换 ) 数据 。 一 般 来 说 ， 使 用 生物 信息 会 问题 
- 包括 保密 性 ， 修 改 难度 和 错误 识别 - 因此 ， 最 好 避免 单纯 依靠 生物 信息 进行 认 

证 。 


例如 ， 假 设 应 用 内 部 的 数据 使 用 密 钥 加 密 ， 密 铀 由 指纹 认证 功能 生成 ， 但 存储 在 终 
端 内 的 指纹 数据 随后 会 被 用 户 删 除 。 然后 用 于 加 密 数 据 的 密 钥 不 可 用 ， 也 不 可 能 复 
制 数 据 。 如果 数 据 不 能 通过 指纹 认证 功能 以 外 的 某 种 方式 恢复 ， 则 存在 数据 无 法 使 
用 的 巨大 风险 。 


此 外 ， 指 纹 信 息 的 删除 不 是 唯一 的 情况 ， 即 使 用 指纹 认证 功能 创建 的 密 钥 可 能 变 得 
不 可 用 。 在 Nexus5X 中， ， 如 果 使 用 指 改 认证 功能 来 创建 密 铀 ， 然 后 将 该 密 钥 注册 
为 额外 的 指纹 信息 ， 则 据 观 察 ， 之 前 创建 的 密 负 不 可 用 [30]。 此外， 不 能 排除 这 和 
可 能 性 ， 由 于 指纹 传感器 的 错误 识别 ， 通 常 可 以 正确 使 用 的 密 钥 变 得 不 可 用 。 


[30] 信息 来 自 2016 年 9 月 1 日 的 版 本 。 这 可 能 会 在 未 来 进行 修改 。 
5.7.2.3 通知 用 户 需要 注册 指纹 才能 创建 密 钥 (推荐 ) 


为 了 使 用 指纹 认证 创建 密 钥 ， 有 必要 在 终端 上 注册 用 户 的 指纹 。 设计 应 用 来 引导 用 
户 进入 设置 菜单 来 鼓励 指纹 注册 时 ， 开 发 人 员 ， 指纹 代表 重要 的 个 人 数 
据 ， 并 且 和 希望 向 用 户 解释 为 什么 应 用 使 用 指纹 信息 是 必要 的 或 便利 的 。 


通知 用 户 需 要 注册 指纹 


if (!mFingerprintAuthentication.isFingerprintAuthAvailable()) { 
// **Point** Notify users that fingerprint registration will 
be required to create a key 
new AlertDialog.Builder(this) 
.setTitle(R.string.app_name) 
.setMessage("No fingerprint information has been registe 
red.¥n" + 
" Click ¥"Security¥" on the Settings menu to registe 
r fingerprints.Yn" + 
" Registering fingerprints allows easy authenticatio 
Hey 
.SetPositiveButton("OK", null) 
.show(); 
return false; 


5.7.3 高 级 话题 


5.7.3.1 Android 应 用 使 用 指纹 认证 功能 的 先决 条 件 
为 了 让 应 用 使 用 指纹 认证 ， 必 须 满足 以 下 两 个 条 件 。 
。 用 户 指纹 必须 在 终端 内 注册 。 


e (特定 于 应 用 的 ) 密 钥 必须 关联 注册 的 指纹 。 
注册 用 户 指纹 


用 户 指纹 信息 只 能 通过 设置 菜单 中 的 "安全 "选项 进行 注册 ; ; 一 般 应 用 不 能 执行 指纹 
注册 过 程 。 因此 ， 如 果 应 用 尝试 使 用 指纹 认证 功能 时 未 注册 指纹 ， 则 应 用 必须 引导 
用 户 进 入 设置 菜单 并 鼓励 用 户 注册 指纹 。 此 时 ， 应 用 需要 向 用 户 提 供 一 些 解释 ， 说 
明 为 什么 使 用 指纹 信息 是 必要 和 方便 的 。 


另外 ， 作 为 指纹 注册 的 必要 前 提 条 件 ， 终 端 必 须 配 置 一 个 替代 的 屏幕 锁定 机 制 。 在 
间 纹 已 在 终端 中 注册 的 状态 下 ， 如 果 屏 幕 锁定 被 禁用 ， 注 册 的 指纹 信息 将 被 删除 o 


创建 和 注册 密 铀 


为 了 关联 密 钥 和 终端 中 注册 的 指纹 ， 请 使 用 由 AndroidKeyStore 供应 器 提供 
的 KeyStore 实例 ， 来 创建 并 注册 新 密 铀 或 注册 现 有 密 钥 。 为 了 创建 关联 指纹 信 
息 的 密 钥 ， 请 在 创建 KeyGenerator 时 配置 参数 设置 ， 来 启用 用 户 认证 请 求 。 


创建 并 注册 关联 指纹 信息 的 密 铀 


try 4 
// Obtain an instance from the "AndroidKeyStore" Provider 


KeyGenerator keyGenerator - KeyGenerator.getInstance(KeyProp 
erties.KEY ALGORITHM AES, "AndroidKeyStore"); 
keyGenerator.init( 
new KeyGenParameterSpec.Builder(KEY NAME, KeyProperties. 
PURPOSE ENCRYPT) 
.setBlockModes(KeyProperties.BLOCK MODE CBC) 
.setEncryptionPaddings(KeyProperties.ENCRYPTION PADD 
ING PKCS7) 
.sSetUserAuthenticationRequired(true) // Enable reque 
sts for user (fingerprint) authentication 
.build()); 
keyGenerator.generateKey(); 
} catch (IllegalStateException e) { 
// no fingerprints have been registered in this terminal 
throw new RuntimeException("No fingerprint registered", e); 
) catch (NoSuchAlgorithmException | InvalidAlgorithmParameterExc 
eption 
CertificateException | KeyStoreException | IOException e) { 
// failed to generate a key 
throw new RuntimeException("Failed to generate a key", e); 


为 了 关联 指纹 信息 和 现 有 密 钥 ， 请 使 用 KeyStore 条 目 ， 将 该 密 钥 注册 到 已 添加 设 
置 的 东西 ， 来 启用 用 户 认 证 请 求 。 


关联 指纹 信息 和 现 有 密 铀 


SecretKey key = ..; // existing key 
KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore"); 
keyStore.load(null); 
keyStore.setEntry( 

"alias_for_the_key", 

new KeyStore.SecretKeyEntry(key), 

new KeyProtection.Builder(KeyProperties.PURPOSE ENCRYPT) 

.sSetUserAuthenticationRequired(true) // Enable requests 

for user (fingerprint) authentication 

.build()); 


zx BEI 


在 Android 中 ， 由 于 Android 操作 系统 规范 或 Android 操作 系统 提供 的 功能 ， 难 以 
确保 应 用 实现 的 安全 性 。 这 些 功能 被 恶意 第 三 方 滥 用 或 用 户 不 小 心 使 用 ， 始 终 存 在 
可 能 导致 信息 泄露 等 安全 问题 的 风险 。 本 章 通过 指出 开发 人 员 可 以 针对 这 些 功能 采 
取 的 风险 缓解 计划 ， 将 一 些 需 要 引起 注意 的 主题 挑选 为 文章 。 


6.1 来 自 剪贴 板 的 信息 泄露 风险 


复制 和 粘贴 是 用 户 经 常 以 不 经 意 的 方式 使 用 的 功能 。 例如 ， 不 少 用 户 使 用 这 些 功能 
来 存储 好 奇 或 重要 的 信息 ， 将 邮件 或 网 页 中 的 东西 记 到 记事 本 中 ， 或 者 从 存储 密码 
的 记事 本 复制 并 炸 贴 密码 ， 以 便 不 会 提前 忘记 。 这 些 明 显 非常 随意 的 行为 ， 但 实际 
上 存在 用 户 处 理 的 信息 可 能 被 盗 的 隐藏 风险 。 


这 个 风险 与 Android 系统 中 的 复制 粘贴 机 制 有 关 。 用 户 或 应 用 复制 的 信息 ， 曾 经 存 
储 在 称 为 剪贴 板 的 缓冲 区 中 。 存储 在 剪贴 板 中 的 信息 ， 在 被 用 户 或 应 用 粘贴 时 ， 分 
发 给 其 他 应 用 。 所 以 这 个 剪贴 板 功能 中 存在 导致 信息 泄漏 的 风险 。 这 是 因为 剪贴 
板 的 实体 在 系统 中 是 唯一 的 ， 并 且 任 何 应 用 都 可 以 使 用 clipboardManager > K 
时 获取 存储 在 剪贴 板 中 的 信息 。 这 意味 着 用 户 复制 / 剪 切 的 所 有 信息 都 会 泄露 给 悉 


因此 ， 考 虑 到 Android 操作 系统 的 规范 ， 应 用 开发 人 员 需 要 采取 措施 ， 尽 量 减少 信 
息 泄 露 的 可 能 性 。 


6.1.1 示例 代码 
粗略 地 说 ， 有 两 种 对 策 用 于 减轻 来 自 剪 贴 板 的 信息 泄露 风险 


1 从 其 他 应 用 复制 到 你 的 应 用 时 采取 对 策 。 
2. 从 你 的 应 用 复制 到 其 他 应 用 时 采取 对 策 。 


首先 ， 让 我 们 讨论 上 面 的 对 策 (1) o 假设 用 户 从 其 他 应 用 (如 记事 本 ，Web 浏览 
器 或 邮件 应 用 ) 复制 字符 串 ， 然 后 将 其 粘贴 到 你 的 应 用 的 EditText T » 事实 证 
明 ， 在 这 种 情况 下 ， 基 本 没有 对 策 ， 来 防止 由 于 复制 和 粘贴 而 导致 的 敏感 信息 泄 
i& * WT Android 中 没有 功能 来 控制 第 三 方 应 用 的 复制 操作 。 因此 ， 就 对 策 (1) 
而 言 ， 除 了 向 用 户 解释 复制 和 粘贴 敏感 信息 的 风险 外 ， 没 有 任何 方法 ， 只 能 继续 让 
用 户 自行 减少 操作 。 


接 下 来 的 讨论 是 上 面 的 对 策 (2) ， 假 设 用 户 复制 应 用 中 显示 的 敏感 信息 。 在 这 种 
情况 下 ， 防 止 泄漏 的 有 效 对 策 是 ， 禁 止 来 自视 图 ( TextView ， EditText 等 ) 
的 复制 / 剪 切 操作 。 如 果 输 入 /输出 敏感 信息 (如 个 人 信息 ) 的 视图 中 ， 没 有 复制 /前 
切 功 能 ， 信 息 泄漏 永远 不 会 通过 剪贴 板 在 你 的 应 用 发 生 。 


有 几 种 禁止 复制 / 剪 切 的 方法 。 本 节 介 绍 简单 有 效 的 方法 : 一 种 方法 是 禁用 视图 的 
长 按 ， 另 一 种 方法 是 在 选择 字符 串 时 从 菜单 中 删除 复制 / 剪 切 条 目 。 


对 策 的 必要 性 可 以 根据 图 6.1-1 的 流程 确定 。 在 图 6.1-1 中 ，“ 输 入 类 型 固定 为 密码 
pue 表示 ， 输 入 类 型 在 应 用 运行 时 必须 是 以 下 三 种 之 一 。 在 这 种 情况 下 ， 由 于 默 
认 禁 止 复制 / 剪 切 ， 因 此 不 需要 采取 对 策 。 

e InputType.TYPE_CLASS_TEXT | InputType.TYPE TEXT. VARIATION PASSWC 


e  InputType.TYPE CLASS TEXT | InputType.TYPE TEXT VARIATION WEB P/ 
e InputType.TYPE CLASS NUMBER | InputType.TYPE NUMBER VARIATION P/ 






Input/Output 
e sensitive information2 










Is input type of view 
ixed to password attribute? 





Prohibit copy/cut 


No Counter-measure needed 


Figure 6.1 -1Decision flow of counter-measure is required or not. 


以 下 小 节 使 用 每 个 示例 代码 详细 介绍 了 对 策 


6.1.1.1 选择 字符 串 时 ， 从 菜单 中 删除 复制 / 剪 切 条 目 


在 Android 3.0 (API Level 11) 之 前 不 能 使 
用 TextView.setCustomSelectionActionMODECallback() 方法 。 在 这 种 情况 


下 ， 禁 止 复 制 / 剪 切 的 最 简单 方法 是 禁用 视图 的 长 按 。 禁用 视图 的 长 按 可 以 
在 layout.xml 文件 中 规定 。 


下 面 展 示 了 示例 代码 ， 用 于 从 EditText 中 的 字符 串 选 择 菜 单 中 删除 复制 / 剪 切 
目 o 


条 


要 点 : 


1. 从 字符 串 选择 菜单 中 删除 android.R.id.copy ° 
2. 从 字符 串 选择 菜单 中 删除 android.R.id.cut 。 


UncopyableActivity.java 


package org.jssec.android.clipboard. leakage; 


import android.app.Activity; 

import android.os.Bundle; 

import android.support.v4.app.NavUtils; 
import android.view.ActionMode; 

import android.view.Menu; 

import android.view.MenuItem; 

import android.widget.EditText; 


public class UncopyableActivity extends Activity ( 


private EditText copyableEdit; 
private EditText uncopyableEdit; 


QOverride 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.uncopyable); 
copyableEdit - (EditText) findViewById(R.id.copyable edi 
t); 
uncopyableEdit = (EditText) findViewById(R.id.uncopyable 
edit); 
// By setCustomSelectionActionMODECallback method, 
// Possible to customize menu of character string select 


TOM: 
uncopyableEdit.setCustomSelectionActionModeCallback(acti 
onModeCallback); 


j 


private ActionMode.Callback actionModeCallback - new ActionM 
ode.Callback() { 


public boolean onPrepareActionMode(ActionMode mode, Menu 
menu) { 


} 


public void onDestroyActionMode(ActionMode mode) { 


} 


public boolean onCreateActionMode(ActionMode mode, Menu 
menu) { 


return false; 


// *** POINT 1 *** Delete android.R.id.copy from the 
menu of character string selection. 


MenuItem itemCopy = menu. findItem(android.R.id.copy) 


if (itemCopy != null) ( 
menu.removeltem(android.R.id.copy); 
j 


// *** POINT 2 *** Delete android.R.id.cut from the 
menu of character string selection. 
MenuItem itemCut - menu.findItem(android.R.id.cut); 
if (itemCut !- null) ( 
menu.removeltem(android.R.id.cut); 
} 


return enue; 


} 


public boolean onActionItemClicked(ActionMode mode, Menu 
Item item) { 
return false; 
} 


ig 


QOverride 

public boolean onCreateOptionsMenu(Menu menu) ( 
getMenuInflater().inflate(R.menu.uncopyable, menu); 
return true; 


j 


QOverride 
public boolean onOptionsItemSelected(MenuItem item) { 
switch (item.getItemId()) { 
case android.R.id.home: 
NavUtils.navigateUpFromSameTask(this); 
return true; 


j 


return super.onOptionsItemSelected(item); 


6.1.1.2 禁用 视图 的 长 按 


禁止 复制 / 剪 切 也 可 以 通过 禁用 视图 的 长 按 来 实现 。 禁用 视图 的 长 按 可 以 
在 layout.xml 文件 中 规定 。 


要 点 : 
1. 在 视图 中 将 android:longClickable 设置 为 false ， 来 禁止 复制 / 剪 切 。 


unlongclickable.xml 


<LinearLayout xmlns:android="http://schemas.android.com/apk/res/ 
android" 

xmlns:tools-"http://schemas.android.com/tools" 

android: layout_width="match_parent" 

android: layout_height="match_parent" 

android: orientation="vertical"> 

<TextView 

android: layout_width="match_parent" 

android: layout_height="wrap_content" 

android: text="@string/unlongclickable_ description" /> 

<!-- EditText to prohibit copy/cut EditText --> 

<!-- *** POINT 1 *** Set false to android:longClickable in V 
iew to prohibit copy/cut. --> 

<EditText 

android: layout_width="match_parent" 

android: layout_height="wrap_content" 

android: longClickable="false" 

android: hint="@string/unlongclickable_ hint" /> 
</LinearLayout> 


6.1.2 规则 书 
将 敏感 信息 从 你 的 应 用 复制 到 其 他 应 用 时 ， 请 遵循 以 下 规则 : 


6.1.2.1 禁用 视图 中 显示 的 复制 / 剪 切 字符 串 GE) 


i eal 敏感 信息 的 视图 ， 并 且 人 允许 在 视图 中 像 EditText 一 样 复制 / 
剪 切 信息 ， 信 息 可 能 会 通过 剪贴 板 泄漏 。 因此 ， 儿 须 在 显示 敏感 信息 的 视图 中 禁用 
复制 Ih o 有 两 种 方法 禁用 复制 / 剪 切 。 一 种 方法 是 从 字符 串 选择 菜单 中 删除 复制 / 


剪 切 条 目 ， 另 一 种 方法 是 禁用 视图 的 长 按 。 请 参阅 "6.1.3.1 应 用 规则 时 的 注意 事 
项 ”。 


6.1.3 高 级 话题 


6.1.3.1 应 用 规则 时 的 注意 事项 


在 TextView 中 ， 选 择 字符 串 是 不 可 能 的 ， 因 此 通常 不 需要 对 策 ， 但 在 某 些 情况 
下 ， 可 以 复制 取决 于 应 用 的 规范 。 选 择 / 复 制 字符 串 的 可 能 性 可 以 通过 使 

用 TextView.setTextIsSelectable() 方法 动态 决定 。 将 TextView 设置 为 可 以 
全 ok  — ish 并 且 如 果 有 任何 可 能 
性 ， 则 不 应 设置 为 可 复制 的 。 


另外 ， 在 “6.1.1 示例 代码 ”的 决策 流程 中 描述 ， 根 据 EditText 的 输入 类 型 
( InputType.TYPE CLASS TEXT | InputType.TYPE TEXT VARIATION PASSWORI 
F) ， 假 设 输入 类 型 是 密码 ， 通 常 不 需要 任何 对 策 ， 因 为 复制 字符 串 是 默认 禁止 


的 。 但 是 ， 如 “5.1.2.2 提供 以 明文 显示 密码 的 选项 (必需 ) "中 所 述 ， 如 果 准 备 了 
【以 明文 显示 密码 】 的 选项 ， 则 在 以 明文 显示 密码 的 情况 下 ， 输 入 类 型 将 会 改变 ， 
并 且 局 用 复制 / 剪 切 。 因 此 应 该 要 求 采取 同样 的 对 策 。 


请 注意 ， 开 发 者 在 应 用 规则 时 ， 还 应 考虑 到 应 用 的 可 用 性 。 例如， 在 用 户 可 以 自由 
输入 文本 的 视图 的 情况 下 ， 如 果 因 输入 敏感 信息 的 可 能 性 很 小 而 禁用 了 复制 / 剪 切 ， 
用 户 可 能 会 感到 不 便 。 当然 ， 该 规则 应 该 无 条 件 地 ， 应 用 于 处 理 非 常 重要 的 信息 或 
独立 的 敏感 信息 的 视图 ， 但 在 视图 之 外 的 情况 下 ， 以 下 问题 将 帮助 开发 人 员 了 解 如 
何 正 确 处 理 视图 。 


准备 一 些 专门 用 于 敏感 信息 的 其 他 组 件 

当 向 应 用 的 粘贴 是 显而易见 的 时 候 用 其 他 方法 发 送信 息 
提醒 用 户 注意 输入 / 输 出 信息 

重新 审视 视图 的 必要 性 


信息 泄露 风险 的 根源 在 于 ， Android 操作 系统 中 前 贴 板 和 剪贴 板 管理 器 的 规范 不 考 
虑 安全 风险 。 应 用 开发 人 员 需 要 在 用 户 完整 性 ， 可用性， 功能 等 方面 创建 更 高 质量 
的 应 用 。 


6.1.3.2 存储 在 剪贴 板 中 的 操作 信息 


正如 “6.1 KAY i A hs 

用 clipboardManager ， 操 作 存 储 在 剪贴 板 中 的 信息 。 另 外 ， 不 需要 为 使 

用 ClipboardManager 设置 特定 的 权限 ， SM Me 的 情况 
下 ， 使 用 clipboardManager 。 


存储 在 剪贴 板 中 的 信息 称 为 CLipData ， 可 以 通 

过 ClipboardManager.getPrimaryClip() 方法 获得 。 如 果 通 

过 nud d LR Ad ae na) 方法 ， 将 侦 听 器 注 
册 到 ClipboardManager ， 并 实现 了 OnPrimaryClipChangedListener ， 则 每 
次 用 户 执行 复制 / 剪 切 操作 时 都 会 调用 监听 器 。 因 此 可 以 在 不 忽略 时 间 的 情况 下 获 
得 clipData 。 在 任何 应 用 中 执行 复制 / 剪 切 操作 时 ， 都 会 调用 监听 器 。 


下 面 显示 了 服务 的 源 代 码 ， 无 论 什 么 时 候 在 设备 中 执行 复制 / 剪 切 ， 它 都 会 

取 clipData 并 通过 Toast 显示 。 你 可 以 意识 到 ， 存 储 在 剪贴 板 中 的 信 ， CRES 
出 来 ， 就 是 由 于 下 面 的 简单 代码 。 有 必要 注意 ， 敏 感 信息 至 少 不 会 由 以 下 源 代码 使 
用 “。 


ClipboardListeningService.java 


package org.jssec.android.clipboard; 


import android.app.Service; 

import android.content.ClipData; 

import android.content.ClipboardManager; 

import android.content.ClipboardManager.OnPrimaryClipChangedList 
ener; 

import android.content.Context; 

import android.content.Intent; 


import android.os.IBinder; 
import android.util.Log; 
import android.widget.Toast; 


public class ClipboardListeningService extends Service { 
private static final String TAG = "ClipboardListeningService" 
private ClipboardManager mClipboardManager; 


QOverride 
public IBinder onBind(Intent arg0O) { 
return null; 


j 


QOverride 
public void onCreate() ( 
super.onCreate(); 
mClipboardManager = (ClipboardManager) getSystemService( 
Context.CLIPBOARD SERVICE); 
if (mClipboardManager !- null) ( 
mClipboardManager.addPrimaryClipChangedListener(clip 
Listener); 
) else { 
Log.e(TAG, "Failed to get ClipboardService . Service 
15 closed); 
this.stopSelf(); 
j 


j 


QOverride 
public void onDestroy() ( 
super.onDestroy(); 
if (mClipboardManager !- null) ( 
mClipboardManager.removePrimaryClipChangedListener(c 
lipListener); 


j 


private OnPrimaryClipChangedListener clipListener - new OnPr 
imaryClipChangedListener() { 


public void onPrimaryClipChanged() { 
if (mClipboardManager !- null && mClipboardManager.h 
asPrimaryClip()) { 
ClipData data - mClipboardManager.getPrimaryClip 
(); 
ClipData.Item item = data.getItemAt(0); 
Toast .makeText ( 
getApplicationContext(), 
"Character stirng that is copied or cut:¥n" 
+ item.coerceToText(getApplicationContex 


t()), 


Toast.LENGTH SHORT) 
.show(); 


D 
}; 
} 


E 





接 下 来 ， 下 面 显示 了 Activity 的 示例 代码 ， 它 使 用 上 面 涉及 
的 ClipboardListeningService 。 


ClipboardListeningActivity.java 


package org.jssec.android.clipboard; 


import android.app.Activity; 

import android.content.ComponentName; 
import android.content.Intent; 

import android.os.Bundle; 

import android.util.Log; 

import android.view.View; 


public class ClipboardListeningActivity extends Activity { 


private static final String TAG = "ClipboardListeningActivit 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity clipboard listening); 


j 


public void onClickStartService(View view) { 
if (view.getId() !- R.id.start service button) { 
Log.w(TAG, "View ID is incorrect."); 
} else { 
ComponentName cn = startService( 
new Intent(ClipboardListeningActivity.this, Clip 
boardListeningService.class) ); 
if (cn == null) { 
Log.e(TAG, "Failed to launch the service."); 
j 
j 


public void onClickStopService(View view) ( 
if (view.getId() !- R.id.stop service button) { 
Log.w(TAG, "View ID is incorrect."); 
} else { 
stopService(new Intent(ClipboardListeningActivity.th 
is, ClipboardListeningService.class) ); 


} 
} 


到 目前 为 止 ， 我 们 已 经 介绍 了 获取 存储 在 剪贴 板 上 的 数据 的 方法 。 也 可 以 使 
用 clipboardManager.setPrimaryClip() 方法 在 剪贴 板 上 存储 新 数据 。 


请 注意 ， setPrimaryClip() 方法 将 覆盖 存储 在 剪贴 板 中 的 信息 ， 因 此 用 户 的 复 

制 / 剪 切 存储 的 信息 可 能 会 丢失 。 当 使 用 这 些 方法 提供 自 定义 复制 / 剪 切 功能 时 ， 必 
须 按 需 设计 /实现 ， 以 防止 存储 在 剪贴 板 中 的 内 容 改 变 为 意外 内 容 ， 通 过 显示 对 话 框 
来 通知 内 容 将 被 改变 。 


六 、 困 难 问 题 
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